HOME»情報処理安全確保支援士掲示板»H29秋 午後1 問2 設問3
投稿する
H29秋 午後1 問2 設問3 [0603]
いなかうまさん(No.1)
H29秋 午後1 問2 設問3について
この問では、本番システムに脆弱性を修正したコードをデプロイし忘れたのでトラブルが発生しました。そこで脆弱性検査手順を改善することになります。
この問の解答は「セキュリティ検査を本番システムに対し行うこと」
ここで疑問が。
Iso27002では、検査は試験用システムで行うとあります。他の年のSC試験でも似たような設問があり、そちらでは「本番環境に対しては検査しちゃダメ」な解答でした。
一体どちらが正しいのでしょうか?状況によっては本番環境を検査しても良いって事なんでしょうか?
この問では、本番システムに脆弱性を修正したコードをデプロイし忘れたのでトラブルが発生しました。そこで脆弱性検査手順を改善することになります。
この問の解答は「セキュリティ検査を本番システムに対し行うこと」
ここで疑問が。
Iso27002では、検査は試験用システムで行うとあります。他の年のSC試験でも似たような設問があり、そちらでは「本番環境に対しては検査しちゃダメ」な解答でした。
一体どちらが正しいのでしょうか?状況によっては本番環境を検査しても良いって事なんでしょうか?
2021.02.18 11:33
ひささん(No.2)
脆弱性検査やペネトレーションテストは本番環境に対して実施するのが基本です。
実際に攻撃者が狙うのは本番環境ですからね。
ただし、本番環境が「本稼働している」場合は【安易】に"検査しちゃダメ"です。
例えば、システムを導入したお客様の大切なデータを脆弱性検査で書き換えてしまう場合あります。
なので、本稼働している場合は、本番環境と同等の環境で事前テストする。
本番環境で実施する際はきちんとバックアップ(DBや仮想環境とか)を取る。
って感じですかね。
実際に攻撃者が狙うのは本番環境ですからね。
ただし、本番環境が「本稼働している」場合は【安易】に"検査しちゃダメ"です。
例えば、システムを導入したお客様の大切なデータを脆弱性検査で書き換えてしまう場合あります。
なので、本稼働している場合は、本番環境と同等の環境で事前テストする。
本番環境で実施する際はきちんとバックアップ(DBや仮想環境とか)を取る。
って感じですかね。
2021.02.18 23:00
いなかうまさん(No.3)
ひささん
脆弱性検査やペネトレーションテストについては、本番環境と同じ環境を用いて事前検査し、本番環境のバックアップをとって、「事前に準備をしっかり整えてから」本環境に対して検査する、ということなんですねぇ。
ありがとうございます!
脆弱性検査やペネトレーションテストについては、本番環境と同じ環境を用いて事前検査し、本番環境のバックアップをとって、「事前に準備をしっかり整えてから」本環境に対して検査する、ということなんですねぇ。
ありがとうございます!
2021.02.19 08:24