応用情報技術者試験令和3年秋午前問38 解説付き過去問

問題

ソフトウェア製品の脆弱性を第三者が発見し、その脆弱性をJPCERTコーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、"情報セキュリティ早期警戒パートナーシップガイドライン(2019年5月)"に照らして適切なものはどれか。

ISMS認証を取得している場合、ISMS認証の停止の手続をJPCERTコーディネーションセンターに依頼する。

脆弱性関連の情報を集計し、統計情報としてIPAのWebサイトで公表する。

脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する。

脆弱性の対応状況をJVNに書き込み、公表する。

この問題は、ソフトウェア製品の脆弱性が発見された際の適切な対応方法について問うものです。これは情報セキュリティの管理と対応策の理解を要する問題であり、特にコミュニケーションと調整の重要性が強調されています。

脆弱性の発見と報告のプロセス
脆弱性が第三者によって発見された場合、その情報はJPCERTコーディネーションセンターを通じて製品開発者に通知されます。JPCERTコーディネーションセンターは、脆弱性情報の収集、分析、対応の調整を行う組織であり、情報の正確な伝達と適切な対応が求められます。
情報セキュリティ早期警戒パートナーシップガイドラインに基づく対応
情報セキュリティ早期警戒パートナーシップガイドラインでは、脆弱性が確認された場合において、適切な情報共有と対応のスケジュール調整が推奨されています。製品開発者はJPCERTコーディネーションセンターと密接に連携し、いつどのように情報を公表するかの計画を練ることが求められます。このプロセスには、関係者間の合意形成と計画的な情報公開が含まれており、無計画な公表やISMS認証の停止などはガイドラインに反しています。

したがって、脆弱性情報の公表に関するスケジュールをJPCERTコーディネーションセンターと調整し、決定する選択肢が正解です。この対応はガイドラインに準じており、脆弱性の効果的管理と情報の適切な公開を保証します。