2021年 秋期 応用情報技術者 午前 問38

ソフトウェア製品の(ぜい)弱性を第三者が発見し、その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。 その場合における製品開発者の対応のうち“情報セキュリティ早期警戒パートナーシップガイドライン(2019年5月)”に照らして適切なものはどれか。

 ア  ISMS認証を取得している場合、ISMS認証の停止手続きをJPCERTコーディネーションセンターに依頼する。
 イ  脆弱性関連の情報を収集し、統計情報としてIPAのWebサイトで公開する。
 ウ  脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する。
 エ  脆弱性の対応状況をJVNに書き込み、公表する。


答え ウ


解説
“情報セキュリティ早期警戒パートナーシップガイドライン”ではソフトウエア製品に係る脆弱性関連情報取扱は以下のようになっています。

  1. 発見者は、IPAに脆弱性関連情報を届け出る
  2. IPAは、受け取った脆弱性関連情報を、原則としてJPCERT/CCに通知する
  3. JPCERT/CCは、脆弱性関連情報に関係する製品開発者を特定し、製品開発者に脆弱性関連情報を通知する
  4. 製品開発者は、脆弱性検証を行い、その結果をJPCERT/CCに報告する
  5. JPCERT/CCと製品開発者は、対策方法の作成や海外の調整機関との調整に要する期間、当該脆弱性情報流出に係るリスクを考慮しつつ、脆弱性情報の公表に関するスケジュールを調整し決定する
  6. 製品開発者は、脆弱性情報の公表日までに対策方法を作成するよう努める
  7. 製品開発者は、製品利用者に生じるリスクを低減できると判断した場合、JPCERT/CCと調整した上で、公表日以前に製品利用者に脆弱性検証の結果、対策方法および対応状況について通知することができる
  8. IPAおよびJPCERT/CCは、脆弱性情報と、3)にてJPCERT/CCから連絡したすべての製品開発者の脆弱性検証の結果、対策方法および対応状況を公表する
  9. IPAは統計情報を、原則、四半期ごとに公表する


キーワード
・JPCERT/CC

キーワードの解説
  • JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)
    インターネットを介して発生するコンピューターセキュリティに関連する事象の情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う日本の組織です。
    設立の参考になった米国のCERT/CCが大学の研究機関に設立されたのと異なり、JPCERT/CCは、常勤スタッフと学術・産業界のアドバイザから構成されています。

もっと、「JPCERT/CC」について調べてみよう。

戻る 一覧へ 次へ