情報セキュリティ

基本情報技術者試験構成管理」の問題

情報セキュリティ情報セキュリティ難易度:normal
P社では、サーバごとに導入ソフトとバージョンを把握できておらず、重大な脆弱性が公表された際、自社のどのサーバが該当し対処が必要かを即座に判断できなかった。脆弱性公表時に迅速かつ漏れなく対応できる体制づくりとして、最も適切なものはどれか。
公表があるたびに各サーバへ個別にログインし、導入状況をその都度調べていく。
全サーバに修正プログラムを一律で自動適用する設定にし、該当判断の手間を省いておく。
重要なサーバを選び、それらに絞って優先的に手作業で点検する運用を続ける。
全サーバの導入ソフトとバージョンを台帳で一元管理し、公表時に該当資産を引く。
正解
全サーバの導入ソフトとバージョンを台帳で一元管理し、公表時に該当資産を引く。

課題は『どのサーバが該当するか即座に判断できない』点であり、原因は構成情報を平時から把握していないことである。全サーバの導入ソフトとバージョンを構成管理台帳で一元管理しておけば、脆弱性公表時に台帳を検索するだけで影響を受ける資産を即座かつ網羅的に特定でき、迅速で漏れのない対応が可能になる。原因に直接対応している。

?選択肢ごとの解説

ア ×公表のたびに個別調査する方法は時間がかかり、サーバ数が多いほど特定が遅れ漏れも生じるため、迅速性と網羅性を欠く。
イ ×一律自動適用は互換性問題や予期せぬ停止を招くおそれがあり、適用前にどのサーバが該当するか把握する課題自体も解決しない。
ウ ×重要サーバだけの点検は対象を絞ることで漏れを生み、該当する非重点サーバが放置されるため網羅性に欠ける。
エ ○課題は『どのサーバが該当するか即座に判断できない』点であり、原因は構成情報を平時から把握していないことである。全サーバの導入ソフトとバージョンを構成管理台帳で一元管理しておけば、脆弱性公表時に台帳を検索するだけで影響を受ける資産を即座かつ網羅的に特定でき、迅速で漏れのない対応が可能になる。原因に直接対応している。

くわしく

脆弱性管理の前提は『自社の資産を正確に把握していること』である。構成管理(何が・どのバージョンで・どこに在るか)が整備されていなければ、影響範囲の特定という最初の一歩でつまずく。台帳の一元管理は、公表という外部イベントに対し即応するための基盤となる。

本番での押さえどころ

試験のコツ

『どの資産が該当するか即座に分からない』が論点なら、構成管理台帳による資産・バージョンの一元把握が正解。

覚え方

脆弱性対応は『まず自分の持ち物リスト』。何を持っているか分かって初めて、どれが危ないか判断できる。

よくある誤り

パッチの自動適用(イ)こそ最善と考えがちだが、本問の課題は『該当資産が分からない』ことであり、適用の前提となる影響範囲特定の仕組みが先に必要である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0028

【基本情報技術者試験】構成管理の問題 — 解答・解説|ukamiru 過去問