HOME»情報セキュリティスペシャリスト 平成22年春期»午前U 問7
情報セキュリティスペシャリスト 平成22年春期 午前U 問7
午前U 問7
経済産業省告示の"ソフトウェア等脆弱性関連情報取扱基準"におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
ソフトウェア等脆弱性関連情報取扱基準(平成16年告示)は、ソフトウェア等に係る脆弱性関連情報等の取扱いについての推奨行為を定めることで、「発見者」「受付機関」「調整機関」「製品開発者」「ウェブサイト運営者」などの関係者が脆弱性情報を適切に取り扱うこと、およびその脆弱性によって引き起こされる被害を予防することを目的とした基準です。
また基準は、対象がソフトウエア製品とウェブアプリケーションである場合のぞれぞれについて各関係者ごとに推奨される行動が項目としてまとめられています。
各記述を取扱基準に照らすと以下のようになります。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf
また基準は、対象がソフトウエア製品とウェブアプリケーションである場合のぞれぞれについて各関係者ごとに推奨される行動が項目としてまとめられています。
各記述を取扱基準に照らすと以下のようになります。
- 「受付機関は、氏名、連絡先等の発見者を特定し得る情報を適切に管理し、当該発見者の同意がない場合は他者(ウェブサイト運営者を含む)に開示しないこと」と定められています。
- 「ウェブサイト運営者は 当該脆弱性に起因する個人情報の漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表するなど必要な対策をとること」と定められています。
- 正しい。「受付機関は 当該ウェブサイト運営者から当該脆弱性を修正した旨の通知があったときは、それを速やかに発見者に通知すること」と定められています。
- 「受付機関は、脆弱性に起因する被害の予防に資するため、脆弱性関連情報の届出状況等を公表すること」と定められています。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf