平成22年 春期 情報セキュリティスペシャリスト 午前II 問7

経済産業省告示の“ソフトウェア等(ぜい)弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

 ア  Webアプリケーションの脆弱性についての情報を受けた受付機関は、発見者の氏名・連絡先をWebサイト運営者に通知する。
 イ  Webアプリケーションの脆弱性についての通知を受けたWebサイトの運営者は、当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない。
 ウ  受付機関は、Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら、それを速やかに発見者に通知する。
 エ  受付機関は、一般利用者に不安を与えないために、Webアプリケーションの脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない。


答え ウ


解説

 ア  脆弱性情報を受けた受付機関は発見者の同意がない限り他者に発見者の氏名・連絡先を開示しません。
 イ  個人情報の漏えいが発生した場合、Webサイト運営者は事実関係を公表しないといけません。
 ウ  Webサイト運営者から脆弱性が修正されたら連絡があったら、受付機関は発見者に通知します。
 エ  受付機関は、Webアプリケーションの脆弱情報を公表しないといけません。


キーワード
・ソフトウェア等脆弱性関連情報取扱基準

キーワードの解説
  • ソフトウェア等(ぜい)弱性関連情報取扱基準
    ソフトウェアなどの脆弱性情報を必要な機関の間で共有するための基準です。
    脆弱性情報を公表するルールがないと、公表のさせ方によってはパニックになったり、攻撃を煽るような結果になってしまうことが考えられるため、経済産業省がIPA(Information-technology Promotion Agency, Japan、情報処理推進機構)に委託し策定したものです。
    現在ではIPAが脆弱性関連情報の窓口になり、JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)が関係機関との調整や発表を行っています。

もっと、「ソフトウェア等脆弱性関連情報取扱基準」について調べてみよう。

戻る 一覧へ 次へ