HOME»基本情報技術者試験掲示板»セキュリティの問題について
投稿する

セキュリティの問題について [5251]

 INTJ高校生さん(No.1) 
セキュリティの問題について。
情報セキュリティマネジメント試験  科目A・B  
https://www.ipa.go.jp/shiken/syllabus/henkou/2022/gmcbt80000007cfs-att/sg_set_sample_qs.pdf
問58の項番(四)、点検結果「3年前に検出したWebアプリの脆弱性2件について,B 社サイトのリリースの1週間前に対応した。」の意味が分かりません。サイトのリリースがいつなのか分からないと1か月以内に対応したかわからないと思うんですけど…どなたか分かる方いますかね…よろしくお願いします。
2024.01.17 23:49
だいおうさん(No.2) 
項番(一)の点検結果で、脆弱性診断をリリース1ヶ月前に行ったとあるので、正解っぽいですね。
2024.01.18 09:37
電タックさん(No.3) 
FE ブロンズマイスター
Webアプリのリリースは3年前です。
この手の時系列を問う問題では下のような線上にイベントを書いていくのが効果的です。

+ーーーーー+ーー+
診_____対__リ

診=脆弱性の診断(リリースの1ヶ月前)
対=脆弱性2件の対応(リリースの1週間前)
リ=リリース日(3年前)

脆弱性の診断(発見)から1ヶ月以内に対応しているのでWebアプリは(4)の基準を満たしていることになります。
※OS,ミドルウェアも4月の定期診断で発見の3件全てが1ヶ月以内に対応(暫定含む)がされていることがわかります。

>返信が少なくなるなどの懸念からでしょうが、情報セキュリティマネジメント試験ドットコムが別途あるのでそちらにポストしたほうが良いと思います。
2024.01.18 09:41
PGsyosinsyさん(No.4) 
リリースに関しては項番(一)の点検結果にある「3年前にB社サイトをリリースする1か月前に、Webアプリに対する脆弱性診断を行った。」という部分から、リリース1カ月前に診断を行ったことがわかります。

その後項番(四)の「3年前に検出したWebアプリの脆弱性2件について、B社サイトのリリースの1週間前に対応した。」の文言から対応までにかかった期間が割り出せると思います。
2024.01.18 09:46
まきさん(No.5) 
>スレ主さん
参照文献 情報セキュリティマネジメントドットコムより
解答は(一)は誤りと書いてあります

解説
(一)誤り。Webアプリの脆弱性診断を年1回以上行う基準に対して、B社サイトは、3年前のB社サイトをリリースする1か月前に行って以降は実施していません。よって、基準を満たしていません。

>サイトのリリースがいつなのか分からないと1か月以内に対応したかわからない
    これは書いてないから無視してもいいのと。

要はリリースする1か月前に脆弱性診断したがその後にしてないことがが問題で、A社の基準に機能追加などの変更がない場合にでも年1回以上行う
あるので不可なのかと思います
2024.01.18 10:10
momochanさん(No.6) 
「3年前の脆弱性診断の実施から3週間後に対応した」では単純すぎるので、ちょっと捻りを効かせた形にしたのでしょうね。
2024.01.18 18:07
 INTJ高校生さん(No.7) 
項番1をきちんと見ていませんでした。みなさんのおかげで理解できました。ありがとうございます。
2024.01.19 23:03
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2010- 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop