「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後2/問1設問2-4」の編集履歴(バックアップ)一覧に戻る
* 設問2 [セキュリティ仕様の決定]について、(1)~(4)に答えよ。
(4) 表6中の【g】に入れる適切な字句を40字以内で述べよ。
>公式解答例:セキュリティ修正プログラムが公表されたら速やかに適用する。(30文字)
>管理人解答:定期的にWebサーバ基板のセキュリティパッチを導入する。(28文字)
* 解説
本文抜粋
** 表6 HSSの運用管理に関する要件(抜粋)
|適用対象|要件|リスクNo. 1)|
|&color(red){インターネットからのアクセスを受け付けるWebサーバ}|・【 g 】|3|
** 表4 顧客データに対するリスク分析の結果(抜粋)
|リスクNo.|脅威|脆弱性|被害|発生確率 1)|深刻度 2)|対応要否 3)|
|3|&color(red){インターネット経由のHSSへの不正アクセス}|&color(red){Webサーバ基板のセキュリティホール}|情報漏えい|中|高|要|
この問題は、インターネットからのアクセスを受け付けるWebサーバのセキュリティホールに必要な要件とか何かを問われています。
Webサーバのセキュリティホールは、サーバの運用開始後に後から発見され、セキュリティパッチも後から公開されていきます。先に対策しておくことは出来ないので、セキュリティパッチが公開されるたびに適用する必要があります。
そのため公式解答例は「セキュリティ修正プログラムが公表されたら速やかに適用する。(30文字)」管理人の解答は「定期的にWebサーバ基板のセキュリティパッチを導入する。(28文字)」ですが、「定期的」よりは、「公開されたら速やかに」の方がよりよい解答だと思います。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後2/問1#設問]]
