基本情報技術者試験 ap-2021r03a-a 午前 問38: ソフトウェア製品の脆弱性を第三者が発見し，その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち，

問題本文

ソフトウェア製品の脆弱性を第三者が発見し，その脆弱性を JPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち，“情報セキュリティ早期警戒パートナーシップガイドライン（2019 年 5 月）”に照らして適切なものはどれか。

選択肢

• ア.ISMS 認証を取得している場合，ISMS 認証の停止の手続を JPCERT コーディネーションセンターに依頼する。
• イ.脆弱性関連の情報を集計し，統計情報として IPA の Web サイトで公表する。
• ウ.脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し，決定する。
• エ.脆弱性の対応状況を JVN に書き込み，公表する。

正解

ウ. 脆弱性情報の公表に関するスケジュールを JPCERT コーディネーションセンターと調整し，決定する。

解説

“情報セキュリティ早期警戒パートナーシップガイドライン”における脆弱性の取扱いの役割分担を問う問題である。脆弱性の届出を受けて開発者との調整を担うのがJPCERTコーディネーションセンターであり、開発者は対策を準備したうえで、公表のタイミング（スケジュール）をJPCERTコーディネーションセンターと調整・決定する。これが開発者の適切な対応であり、正解はウ。

選択肢ごとの解説

• ア.脆弱性が見つかったこととISMS認証の停止は無関係であり、認証停止の手続を依頼するという対応は適切でない。
• イ.脆弱性関連情報の集計・統計情報の公表はIPAなど調整機関の役割であって、製品開発者が行う対応ではない。
• ウ.正しい。開発者は対策を整え、公表スケジュールを調整役のJPCERTコーディネーションセンターと調整・決定するのが適切な対応である。
• エ.JVN（脆弱性情報ポータル）への掲載・公表は調整機関（IPAとJPCERT/CC）が行うものであり、開発者が独自にJVNへ書き込んで公表するのは適切でない。