応用情報技術者試験 応用情報技術者試験 令和3年度秋期 午前 問38: ソフトウェア製品の脆弱性を第三者が発見し,その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち,
ソフトウェア製品の脆弱性を第三者が発見し,その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち,“情報セキュリティ早期警戒パートナーシップガイドライン(2019 年 5 月)”に照らして適切なものはどれか。
68.40%
問題本文
ソフトウェア製品の脆弱性を第三者が発見し,その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち,“情報セキュリティ早期警戒パートナーシップガイドライン(2019 年 5 月)”に照らして適切なものはどれか。
選択肢
- ア.ISMS 認証を取得している場合,ISMS 認証の停止の手続を JPCERT コーディネーションセンターに依頼する。
- イ.脆弱性関連の情報を集計し,統計情報として IPA の Web サイトで公表する。
- ウ.脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し,決定する。
- エ.脆弱性の対応状況を JVN に書き込み,公表する。
正解
ウ. 脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し,決定する。
解説
“情報セキュリティ早期警戒パートナーシップガイドライン”における脆弱性の取扱いの役割分担を問う問題である。脆弱性の届出を受けて開発者との調整を担うのがJPCERTコーディネーションセンターであり、開発者は対策を準備したうえで、公表のタイミング(スケジュール)をJPCERTコーディネーションセンターと調整・決定する。これが開発者の適切な対応であり、正解はウ。
選択肢ごとの解説
- ア.脆弱性が見つかったこととISMS認証の停止は無関係であり、認証停止の手続を依頼するという対応は適切でない。
- イ.脆弱性関連情報の集計・統計情報の公表はIPAなど調整機関の役割であって、製品開発者が行う対応ではない。
- ウ.正しい。開発者は対策を整え、公表スケジュールを調整役のJPCERTコーディネーションセンターと調整・決定するのが適切な対応である。
- エ.JVN(脆弱性情報ポータル)への掲載・公表は調整機関(IPAとJPCERT/CC)が行うものであり、開発者が独自にJVNへ書き込んで公表するのは適切でない。
応用情報技術者試験 令和3年度秋期 午前 の過去問一覧へ戻る・問38