2022年4月25日公開分 [科目B]問2

 国内外に複数の子会社をもつA社では,インターネットに公開するWebサイトについて,A社グループの脆弱性診断基準(以下,A社グループ基準という)を設けている。A社の子会社であるB社は,会員向けに製品を販売するWebサイト(以下,B社サイトという)を運営している。会員が2回目以降の配達先の入力を省略できるように,今年の8月,B社サイトにログイン機能を追加した。B社サイトは,会員の氏名,住所,電話番号,メールアドレスなどの会員情報も管理することになった。
 B社では,11月に情報セキュリティ活動の一環として,A社グループ基準を基に自己点検を実施し,その結果を表1のとおりまとめた。
b02_1.png

設問 表1中の自己点検の結果のうち,A社グループ基準を満たす項番だけを全て挙げた組合せを,解答群の中から選べ。

  • (一)
  • (一),(二)
  • (一),(二),(三)
  • (一),(三)
  • (一),(四)
  • (二),(三),(四)
  • (二),(四)
  • (三)
  • (三),(四)
正解 問題へ
分野:情報セキュリティマネジメントの計画・要求事項
カテゴリ:リスクアセスメント及びリスク対応
解説
A社の子会社であるB社が運営するB社サイトが、A社グループ基準を満たしているかどうかを解答する問題です。点検結果が基準に照らして適切となっているかどうかの観点で考えれば良い国語問題で、ポイントとして設問に素直に解答することが大切です。
  1. 誤り。A社グループ基準では、Webアプリの新規開発時、および機能追加時に脆弱性診断を行うことになっています。B社サイトは8月にログイン機能を追加しているので、8月にWebアプリに対する脆弱性診断を行う必要がありますが実施されていません。よって、基準を満たしていません。
  2. 正しい。OS及びミドルウェアに対する脆弱性診断を年1回以上行う基準です。毎年10月にB社サイトに対して脆弱性診断を行っているので基準を満たしています。軽微な脆弱性が4件検出されていますが、(二)は脆弱性診断を年1回以上行うことを基準としていますので、脆弱性の有無はここでは考慮しなくても問題ありません。よって、基準を満たしています。
  3. 誤り。A社グループ基準では、Webアプリ、OS及びミドルウェアに対する脆弱性診断の結果を、各社の情報セキュリティ委員会に報告することになっています。Webアプリの診断結果については報告されているものの、OS及びミドルウェアに対する診断結果については脆弱性が軽微であることを理由に情報セキュリティ委員会に報告していません。よって、基準を満たしていません。たとえ軽微な脆弱性でも大きな問題に発展する前に報告すべきです。
  4. 正しい。A社グループ基準では、脆弱性を"緊急を要する脆弱性"と"その他の脆弱性"に分類しています。Webアプリに関する2件、OS及びミドルウェアに関する4件の脆弱性はどちらも"緊急"とは説明されていないので、その他の脆弱性として、診断後1カ月以内の対応が求められます。Webアプリに関する2件は1週間後に、OS及びミドルウェアに関する4件は2週間後に対応がなされているため、基準を満たしています。
したがって(二)と(四)の組合せである「キ」が正解です。

Pagetop