HOME»情報処理安全確保支援士掲示板»H29秋 午後1 問2 設問3

情報処理安全確保支援士掲示板

掲示板検索:

[0603]H29秋 午後1 問2 設問3

 いなかうまさん(No.1) 
H29秋 午後1 問2 設問3について

この問では、本番システムに脆弱性を修正したコードをデプロイし忘れたのでトラブルが発生しました。そこで脆弱性検査手順を改善することになります。

この問の解答は「セキュリティ検査を本番システムに対し行うこと」

ここで疑問が。
Iso27002では、検査は試験用システムで行うとあります。他の年のSC試験でも似たような設問があり、そちらでは「本番環境に対しては検査しちゃダメ」な解答でした。

一体どちらが正しいのでしょうか?状況によっては本番環境を検査しても良いって事なんでしょうか?
2021.02.18 11:33
ひささん(No.2) 
脆弱性検査やペネトレーションテストは本番環境に対して実施するのが基本です。
実際に攻撃者が狙うのは本番環境ですからね。
ただし、本番環境が「本稼働している」場合は【安易】に"検査しちゃダメ"です。
例えば、システムを導入したお客様の大切なデータを脆弱性検査で書き換えてしまう場合あります。
なので、本稼働している場合は、本番環境と同等の環境で事前テストする。
本番環境で実施する際はきちんとバックアップ(DBや仮想環境とか)を取る。
って感じですかね。

2021.02.18 23:00
 いなかうまさん(No.3) 
ひささん

脆弱性検査やペネトレーションテストについては、本番環境と同じ環境を用いて事前検査し、本番環境のバックアップをとって、「事前に準備をしっかり整えてから」本環境に対して検査する、ということなんですねぇ。

ありがとうございます!
2021.02.19 08:24

返信投稿用フォーム

スパム防止のために初投稿日から30日経過したスレッドへの書き込みは禁止しています。

© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop