基本情報技術者 試験情報＆徹底解説 -新制度に完全対応-

セキュリティの問題について。
情報セキュリティマネジメント試験  科目A・B  
https://www.ipa.go.jp/shiken/syllabus/henkou/2022/gmcbt80000007cfs-att/sg_set_sample_qs.pdf
問58の項番(四)、点検結果「3年前に検出したWebアプリの脆弱性2件について,B 社サイトのリリースの1週間前に対応した。」の意味が分かりません。サイトのリリースがいつなのか分からないと1か月以内に対応したかわからないと思うんですけど…どなたか分かる方いますかね…よろしくお願いします。

項番(一)の点検結果で、脆弱性診断をリリース1ヶ月前に行ったとあるので、正解っぽいですね。

Webアプリのリリースは３年前です。
この手の時系列を問う問題では下のような線上にイベントを書いていくのが効果的です。

＋ーーーーー＋ーー＋
診＿＿＿＿＿対＿＿リ

診＝脆弱性の診断（リリースの１ヶ月前）
対＝脆弱性２件の対応（リリースの１週間前）
リ＝リリース日（３年前）

脆弱性の診断（発見）から１ヶ月以内に対応しているのでWebアプリは（４）の基準を満たしていることになります。
※OS,ミドルウェアも４月の定期診断で発見の３件全てが１ヶ月以内に対応（暫定含む）がされていることがわかります。

>返信が少なくなるなどの懸念からでしょうが、情報セキュリティマネジメント試験ドットコムが別途あるのでそちらにポストしたほうが良いと思います。

リリースに関しては項番(一)の点検結果にある「3年前にB社サイトをリリースする1か月前に、Webアプリに対する脆弱性診断を行った。」という部分から、リリース1カ月前に診断を行ったことがわかります。

その後項番(四)の「3年前に検出したWebアプリの脆弱性2件について、B社サイトのリリースの1週間前に対応した。」の文言から対応までにかかった期間が割り出せると思います。

>スレ主さん
参照文献 情報セキュリティマネジメントドットコムより
解答は（一）は誤りと書いてあります

解説
（一）誤り。Webアプリの脆弱性診断を年1回以上行う基準に対して、B社サイトは、3年前のB社サイトをリリースする1か月前に行って以降は実施していません。よって、基準を満たしていません。

＞サイトのリリースがいつなのか分からないと1か月以内に対応したかわからない
    これは書いてないから無視してもいいのと。

要はリリースする１か月前に脆弱性診断したがその後にしてないことがが問題で、A社の基準に機能追加などの変更がない場合にでも年１回以上行う
あるので不可なのかと思います

「3年前の脆弱性診断の実施から3週間後に対応した」では単純すぎるので、ちょっと捻りを効かせた形にしたのでしょうね。

項番1をきちんと見ていませんでした。みなさんのおかげで理解できました。ありがとうございます。