サンプル問題 [科目B]問58
問58
国内外に複数の子会社をもつA社では,インターネットに公開するWebサイトについて,A社グループの脆弱性診断基準(以下,A社グループ基準という)を設けている。A社の子会社であるB社は,会員向けに製品を販売するWebサイト(以下,B社サイトという)を運営している。B社サイトは,会員だけがB社の製品やサービスを検索できる。会員の氏名,メールアドレスなどの会員情報も管理している。
B社では,11月に情報セキュリティ活動の一環として,A社グループ基準を基に自己点検を実施し,その結果を表1のとおりまとめた。
設問 表1中の自己点検の結果のうち,A社グループ基準を満たす項番だけを全て挙げた組合せを,解答群の中から選べ。
B社では,11月に情報セキュリティ活動の一環として,A社グループ基準を基に自己点検を実施し,その結果を表1のとおりまとめた。
設問 表1中の自己点検の結果のうち,A社グループ基準を満たす項番だけを全て挙げた組合せを,解答群の中から選べ。
- (一),(二)
- (一),(二),(三)
- (一),(二),(三),(四)
- (一),(二),(四)
- (一),(三),(四)
- (一),(四)
- (二),(三)
- (二),(三),(四)
- (三),(四)
分類
情報セキュリティマネジメントの運用・継続的改善 » システム利用時の情報セキュリティ
正解
ク
解説
A社の子会社であるB社が運営するB社サイトが、A社グループ基準を満たしているかどうかを解答する問題です。点検結果が基準に照らして適切となっているかどうかの観点で考えれば良い国語問題で、ポイントとして設問に素直に解答することが大切です。また、設問で何を問われているか先に確認して問題文を読み進めるのも有効なテクニックです。
- 誤り。Webアプリの脆弱性診断を年1回以上行う基準に対して、B社サイトは、3年前のB社サイトをリリースする1か月前に行って以降は実施していません。よって、基準を満たしていません。
- 正しい。OS及びミドルウェアの脆弱性診断を年1回以上行う基準に対して、B社サイトは、毎年4月及び10月の年2回行っています。よって、基準を満たしています。
- 正しい。脆弱性診断の結果を2か月以内に報告する基準に対して、B社サイトは、Webアプリに関しては脆弱性診断の2週間後、OS及びミドルウェアに関しては脆弱性診断の実施月である4月と10月それぞれの月末に報告しています。よって、基準を満たしています。
- 正しい。脆弱性が発見された場合、緊急を要する脆弱性は速やかに対応、その他は1か月以内、指定された期限までの対応が困難な場合は対応時期を明確にし最高情報セキュリティ責任者(CISO)の承認を得る基準になっています。
項番(一)の脆弱性2件については、リリースの1カ月前に検出され、リリースの1週間前に対応しているので、1カ月以内に対応の基準を満たしています。項番(四)の脆弱性2件は翌日に対応し基準を満たしています。残り1件は来年1月に対応する計画をCISOの承認を得ており、こちらも基準を満たしています。