HOME»情報処理安全確保支援士掲示板»H29秋 午後1 問2 設問3

情報処理安全確保支援士掲示板

掲示板検索:

[0603]H29秋 午後1 問2 設問3

いなかうまさん(No.1)
H29秋 午後1 問2 設問3について

この問では、本番システムに脆弱性を修正したコードをデプロイし忘れたのでトラブルが発生しました。そこで脆弱性検査手順を改善することになります。

この問の解答は「セキュリティ検査を本番システムに対し行うこと」

ここで疑問が。
Iso27002では、検査は試験用システムで行うとあります。他の年のSC試験でも似たような設問があり、そちらでは「本番環境に対しては検査しちゃダメ」な解答でした。

一体どちらが正しいのでしょうか?状況によっては本番環境を検査しても良いって事なんでしょうか?
2021.02.18 11:33
ひささん(No.2)
脆弱性検査やペネトレーションテストは本番環境に対して実施するのが基本です。
実際に攻撃者が狙うのは本番環境ですからね。
ただし、本番環境が「本稼働している」場合は【安易】に"検査しちゃダメ"です。
例えば、システムを導入したお客様の大切なデータを脆弱性検査で書き換えてしまう場合あります。
なので、本稼働している場合は、本番環境と同等の環境で事前テストする。
本番環境で実施する際はきちんとバックアップ(DBや仮想環境とか)を取る。
って感じですかね。

2021.02.18 23:00
いなかうまさん(No.3)
ひささん

脆弱性検査やペネトレーションテストについては、本番環境と同じ環境を用いて事前検査し、本番環境のバックアップをとって、「事前に準備をしっかり整えてから」本環境に対して検査する、ということなんですねぇ。

ありがとうございます!
2021.02.19 08:24

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

本投稿を削除するためのパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop