情報セキュリティ

基本情報技術者試験パッチ管理」の問題

情報セキュリティ情報セキュリティ難易度:normal
E社の基幹システムに、重要なセキュリティ修正プログラムの提供が始まった。過去に修正プログラムを本番へ即時適用した際、既存機能との不整合で業務が停止した苦い経験がある。今回の適用にあたり取るべきプロセスとして、最も適切なものはどれか。
業務影響を避けるため、今回の修正プログラムは適用せず現状のまま運用を続ける。
提供と同時に本番環境へそのまま直接適用し、不具合が出てから個別に対処していく。
本番に近い環境で既存機能への影響を確かめ、問題がなければ計画に沿って適用する。
修正プログラムの提供元が信頼できるか確認できるまで、適用も検証も保留する。
正解
本番に近い環境で既存機能への影響を確かめ、問題がなければ計画に沿って適用する。

重要なセキュリティ修正は適用すべきだが、過去の即時適用で業務が停止した教訓から、本番に近い検証環境で動作と既存機能への影響を確認し、問題がなければ計画的に本番へ適用する手順が適切である。安全性と修正の両立を図れる。

?選択肢ごとの解説

ア ×重要なセキュリティ修正を適用しないことは、既知の脆弱性を放置し攻撃される危険を残すため、業務影響回避を理由に見送るのは不適切である。
イ ×検証なしの本番直接適用は、まさに過去に業務停止を招いた失敗の繰り返しであり、教訓を活かしていない。
ウ ○重要なセキュリティ修正は適用すべきだが、過去の即時適用で業務が停止した教訓から、本番に近い検証環境で動作と既存機能への影響を確認し、問題がなければ計画的に本番へ適用する手順が適切である。安全性と修正の両立を図れる。
エ ×提供元の信頼性確認は必要だが、確認できるまで検証まで含めて保留すると、重要な修正の適用が無期限に遅れリスクが残る。

くわしく

パッチ管理プロセスは『情報収集→評価(深刻度・影響)→検証→適用→記録』の流れで回す。可用性と安全性のトレードオフを管理するため、本番投入前の検証工程と適用計画(ロールバック手順を含む)が不可欠である。

本番での押さえどころ

試験のコツ

パッチ管理は『検証環境で確認してから計画的に本番適用』が定石。未適用放置も無検証即適用も誤り。

覚え方

修正は『試着してから本番』。検証環境という試着室で確認してから本番という外出着にする。

よくある誤り

『安全のため適用しない』『早さ優先で即適用』の両極に振れる。検証を挟んで計画適用する中庸のプロセスが正解である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0113

【基本情報技術者試験】パッチ管理の問題 — 解答・解説|ukamiru 過去問