情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問17: A社では,利用しているソフトウェア製品の脆弱性に対して,ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされ
←情報セキュリティマネジメント試験 平成30年度春期 午前
A社では,利用しているソフトウェア製品の脆弱性に対して,ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内の PC やサーバについて,セキュリティパッチの適用漏れを防ぎたい。そのために有効なものはどれか。
問題本文
A社では,利用しているソフトウェア製品の脆弱性に対して,ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内の PC やサーバについて,セキュリティパッチの適用漏れを防ぎたい。そのために有効なものはどれか。
選択肢
- ア.ソフトウェア製品の脆弱性の概要や対策の情報が蓄積された脆弱性対策情報データベース(JVN iPedia)
- イ.ソフトウェア製品の脆弱性の特性や深刻度を評価するための基準を提供する共通脆弱性評価システム(CVSS)
- ウ.ソフトウェア製品のソースコードを保存し,ソースコードへのアクセス権と変更履歴を管理するソースコード管理システム
- エ.ソフトウェア製品の名称やバージョン,それらが導入されている機器の所在,IPアドレスを管理する IT 資産管理システム
正解
エ. ソフトウェア製品の名称やバージョン,それらが導入されている機器の所在,IPアドレスを管理する IT 資産管理システム
解説
パッチ適用漏れを防ぐには,組織内のどの機器にどのソフトウェアのどのバージョンが導入されているかを正確に把握できる仕組みが必要である。ソフトウェア製品の名称・バージョンや導入機器の所在・IPアドレスを管理するIT資産管理システムを使えば,未対応の機器を特定して漏れなくパッチを適用できる。よって正解はエである。
選択肢ごとの解説
- ア.JVN iPediaは脆弱性と対策の情報を提供するデータベースであり,自組織のどの機器が未適用かを把握する手段ではない。
- イ.CVSSは脆弱性の深刻度を評価する共通基準であり,パッチ適用漏れの機器を特定するものではない。
- ウ.ソースコード管理システムは自社開発コードの版管理に用いるものであり,導入済みソフトのパッチ適用状況の把握には役立たない。
- エ.IT資産管理システムは導入ソフトの名称・バージョンや機器の所在・IPアドレスを管理できるため,適用漏れの機器を特定でき有効である。
情報セキュリティマネジメント試験 平成30年度春期 午前 の過去問一覧へ戻る・問17