問題本文
会社で業務に使用しているPCにおいて,OS,ミドルウェアやアプリケーションなどに適用するセキュリティパッチに関する記述として,適切なものはどれか。
選択肢
- ア.ウイルス感染予防として適用すべきである。
- イ.ウイルスに感染した場合に適用すべきである。
- ウ.現状の機能に満足している場合は,セキュリティパッチが出ていても,適用する必要はない。
- エ.サポート切れとなり,セキュリティパッチの提供が終了したソフトウェアは,これまでに提供された全てのセキュリティパッチを適用していれば安全に利用できる。
正解
ア. ウイルス感染予防として適用すべきである。
解説
セキュリティパッチはOS・ミドルウェア・アプリケーションなどの脆弱性(セキュリティ上の弱点・バグ)を修正するための更新プログラムで,ベンダから配布される. ウイルス感染や不正アクセスの多くは既知の脆弱性を悪用するため,感染前にパッチを適用しておく予防的適用が原則となる. 適用要否は機能満足の有無とは無関係で,セキュリティ確保の観点から速やかな適用が必要である. ベンダのサポートが切れたソフトウェアは新規発見の脆弱性に対する修正が提供されなくなるため,過去のパッチを全て適用済みでも新たな攻撃に晒され続け,安全な利用は保証されない. パッチ管理はゼロデイ攻撃対策の前提としても重要な日常的セキュリティ活動である.
選択肢ごとの解説
- ア.正しい. セキュリティパッチはウイルス感染や不正アクセスを未然に防ぐため,感染前に予防的に適用することが原則のため. 既知の脆弱性をパッチで塞ぐことで攻撃の侵入経路を事前に遮断でき,セキュリティ被害を未然に防ぐためにベンダから配布されたらできるだけ早期に適用することが推奨される.
- イ.誤り. ウイルスに感染した場合に適用するという考えは誤りで,既に侵害された状態であり遅すぎる. パッチはあくまで脆弱性を塞ぐ予防策で,感染後の対応はマルウェア駆除・隔離・再構築・ログ分析などが中心になるため,パッチ適用の本来の目的とは異なる対応の流れとなる.
- ウ.誤り. 現状の機能に満足していてもセキュリティパッチの適用は必要である. パッチの目的は機能改善ではなくセキュリティ確保(脆弱性の修正)であるため,機能満足の有無とは無関係に,セキュリティリスクを回避するため速やかな適用が原則として求められる活動となる.
- エ.誤り. サポート切れとなったソフトウェアは,新たに発見される脆弱性に対する修正プログラムが提供されなくなる. そのため過去に提供されたセキュリティパッチを全て適用していても,新規発見の脆弱性に晒され続けるため,安全に利用できるとはいえず,サポート継続中の製品への乗換えが必要となる.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問59