平成22年春期試験問題 午前Ⅱ 問7

経済産業省告示の"ソフトウェア等脆弱性関連情報取扱基準"におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

  • Webアプリケーションの脆弱性についての情報を受けた受付機関は,発見者の氏名・連絡先をWebサイト運営者に通知する。
  • Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は,当該脆弱性に起因する個人情報の漏えいなどが発生した場合,事実関係を公表しない。
  • 受付機関は,Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら,それを速やかに発見者に通知する。
  • 受付機関は,一般利用者に不安を与えないために,Webアプリケーションの脆弱性関連情報の届出状況は,受付機関の中で管理し,公表しない。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
ソフトウェア等脆弱性関連情報取扱基準は、ソフトウェア等に係る脆弱性関連情報等の取扱いについての推奨行為を定めることで、「発見者」「受付機関」「調整機関」「製品開発者」「ウェブサイト運営者」などの関係者が脆弱性情報を適切に取り扱うこと、およびその脆弱性によって引き起こされる被害を予防することを目的とした基準です。対象がソフトウェア製品とウェブアプリケーションである場合のぞれぞれについて各関係者ごとに推奨される行動が項目としてまとめられています。

各記述を取扱基準に照らすと以下のようになります。
  • 「受付機関は、氏名、連絡先等の発見者を特定し得る情報を適切に管理し、当該発見者の同意がない場合は他者(ウェブサイト運営者を含む)に開示しないこと」と定められています。
  • 「ウェブサイト運営者は 当該脆弱性に起因する個人情報の漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表するなど必要な対策をとること」と定められています。
  • 正しい。「受付機関は 当該ウェブサイト運営者から当該脆弱性を修正した旨の通知があったときは、それを速やかに発見者に通知すること」と定められています。
  • 「受付機関は、脆弱性に起因する被害の予防に資するため、脆弱性関連情報の届出状況等を公表すること」と定められています。
参考URL: ソフトウェア等脆弱性関連情報取扱基準
https://www.meti.go.jp/policy/netsecurity/vul_notification.pdf

Pagetop