基本情報技術者試験「構成管理」の問題
P社では、サーバごとに導入ソフトとバージョンを把握できておらず、重大な脆弱性が公表された際、自社のどのサーバが該当し対処が必要かを即座に判断できなかった。脆弱性公表時に迅速かつ漏れなく対応できる体制づくりとして、最も適切なものはどれか。
ア公表があるたびに各サーバへ個別にログインし、導入状況をその都度調べていく。
イ全サーバに修正プログラムを一律で自動適用する設定にし、該当判断の手間を省いておく。
ウ重要なサーバを選び、それらに絞って優先的に手作業で点検する運用を続ける。
エ全サーバの導入ソフトとバージョンを台帳で一元管理し、公表時に該当資産を引く。
正解
エ.全サーバの導入ソフトとバージョンを台帳で一元管理し、公表時に該当資産を引く。
課題は『どのサーバが該当するか即座に判断できない』点であり、原因は構成情報を平時から把握していないことである。全サーバの導入ソフトとバージョンを構成管理台帳で一元管理しておけば、脆弱性公表時に台帳を検索するだけで影響を受ける資産を即座かつ網羅的に特定でき、迅速で漏れのない対応が可能になる。原因に直接対応している。
?選択肢ごとの解説
ア ×公表のたびに個別調査する方法は時間がかかり、サーバ数が多いほど特定が遅れ漏れも生じるため、迅速性と網羅性を欠く。
イ ×一律自動適用は互換性問題や予期せぬ停止を招くおそれがあり、適用前にどのサーバが該当するか把握する課題自体も解決しない。
ウ ×重要サーバだけの点検は対象を絞ることで漏れを生み、該当する非重点サーバが放置されるため網羅性に欠ける。
エ ○課題は『どのサーバが該当するか即座に判断できない』点であり、原因は構成情報を平時から把握していないことである。全サーバの導入ソフトとバージョンを構成管理台帳で一元管理しておけば、脆弱性公表時に台帳を検索するだけで影響を受ける資産を即座かつ網羅的に特定でき、迅速で漏れのない対応が可能になる。原因に直接対応している。
✎くわしく
脆弱性管理の前提は『自社の資産を正確に把握していること』である。構成管理(何が・どのバージョンで・どこに在るか)が整備されていなければ、影響範囲の特定という最初の一歩でつまずく。台帳の一元管理は、公表という外部イベントに対し即応するための基盤となる。
✓本番での押さえどころ
試験のコツ
『どの資産が該当するか即座に分からない』が論点なら、構成管理台帳による資産・バージョンの一元把握が正解。
覚え方
脆弱性対応は『まず自分の持ち物リスト』。何を持っているか分かって初めて、どれが危ないか判断できる。
よくある誤り
パッチの自動適用(イ)こそ最善と考えがちだが、本問の課題は『該当資産が分からない』ことであり、適用の前提となる影響範囲特定の仕組みが先に必要である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0028