6月
25
2011

[IPA試験対策]経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”ってなに?


問 経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

ア Webアプリケーションの脆弱性についての情報を受けた受付機関は、
  発見者の氏名・連絡先をWebサイト運営者に通知する。
イ Webアプリケーションの脆(ぜい)弱性についての通知を受けたWebサイト運営者は、
  当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない。
ウ 受付機関は、Webサイト運営者からWebアプリケーションの脆弱性が修正されたという
  通知を受けたら、それを速やかに発見者に通知する。
エ 受付機関は、一般利用者に不安を与えないために、Webアプリケーションの
  脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない。

“平成22年度春季情報セキュリティスペシャリスト試験午前2 問7の設問”
 
とりあえず“ソフトウェア等脆弱性関連情報取扱基準”についてですが
ソフトウェアなどの脆弱性情報を必要な機関間で流通させるための取り扱い基準です。
この基準により、IPAは脆弱性関連情報の受け付け機関、JPCERTコーディネーションセンターが脆弱性関連情報の製品開発者への連絡と公表に関わる調整機関とそれぞれ指定されています。
ソフトウェアやWebサイトの脆弱性を発見した人は、IPAのWebサイトにある「脆弱性関連情報の取扱い」ページの記載に従って、IPAに届出を行うことになります。

と、いちおう書いたのですが・・・
この設問は、そんなこと知ってなくても普通に考えれば解けそうですよね。
それぞれの選択肢ですが
アは、”発見者の氏名・連絡先をWebサイト運営者に通知”ここが違います。運営者側に個人の情報を伝える必要は一切ないです。
イは、”当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない”ここが違います。公表しなければならない義務があります。
エは、”脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない”が違います。対応状況は発表されるようになっています。そもそも”不安を与えない”よう公表しないは逆効果ですよね。
というわけで、解答は『』です。

Trackback URL


Leave a comment

This blog is kept spam free by WP-SpamFree.

UA-19837173-1