HOME»情報処理安全確保支援士掲示板»平成24年秋期 午後II 問1 設問4 (1)
投稿する

平成24年秋期 午後II 問1 設問4 (1) [0850]

 初心者さん(No.1) 
初めての質問、失礼いたします。

タイトルの件ですが、
当該問題の公式の回答例が
① システムで利用しているOSやミドルウェアの脆弱性情報を定期的に収集し、必要な対応を行う。
② 自動診断ツールを最新のものに更新し、定期的に診断を実施し、必要な対応を行う。
となっていて、②の回答が導出される過程がイマイチわからないです。

12ページでは、「自動診断ツールで~指摘されなかった」とありますが、これはWebアプリ診断のことであり、OS、ミドルウェアに対する診断(問題文中ではPF診断と表記)では無いと考えてます。
ですから、問題文からPF診断ツールが最新であるかどうか、どの点から読み解けばいいのか正直わからないです。
それとも、3ページの「サイト開設時及び再構築時に~」あたりから、『定期的には実施してないこと』を読み取りそこから広げて『定期的ではないということは最新ではないということ』と推察する必要があるのでしょうか?
(余談ですが、そうだとすればこの問題に限らず、このような勘所がなかなか育たず難しく感じます。)

是非、お知恵をお貸しいただきたく、よろしくお願いします。
2022.04.10 11:54
pixさん(No.2) 
SC ダイヤモンドマイスター
P5「項番1のDoS脆弱性は、数か月前に公表された脆弱性であった」と
という文言があります。
「自動診断ツールを最新にする」という解答のヒントはこの文言と
思われます。
自動診断ツールが古いとこの脆弱性を検知できないと思われ、
解答でこの点を指摘できれば、完全な解答になると思われます。

これは、勘所というよりも、文章中から解答に必要なパーツを
集める能力かと思います。
2022.04.10 12:31
 初心者さん(No.3) 
ご回答ありがとうございます!

「数ヶ月前に公表された」から「脆弱診断ツールは古い」
なるほど、たしかに納得します。

言われれば確かにその通りなのですが、なかなか思いつけませんね。。。難しいものです。
2022.04.10 13:17
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop