FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:A社が運用するWebサーバには、外部から悪用可能な既知の脆弱…
問題
A社が運用するWebサーバには、外部から悪用可能な既知の脆弱性が存在し、修正版(セキュリティパッチ)が公開されていることが脆弱性診断で判明した。この脆弱性を悪用されると、サーバへ侵入されるおそれがある。一方で、サーバは24時間稼働しており、更新作業には一時的な停止を伴う。Bさんは対応方針を決める。
対応として、最も適切なものはどれか。
- ア 脆弱性の存在を公表せず、そのまま運用を続ける。
- イ 影響範囲を確認したうえで、計画的に修正版を適用するか、適用までの間は緩和策(回避策)を講じる。(正解)
- ウ サーバのホスト名を変更して、攻撃者に気付かれないようにする。
- エ Webサイトの配色を変更する。
- オ サーバのログ出力を停止して負荷を下げる。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:影響範囲を確認したうえで、計画的に修正版を適用するか、適用までの間は緩和策(回避策)を講じる。
状況の整理:悪用可能な既知の脆弱性に修正版が出ています。稼働を止めにくい事情はありますが、放置は侵入リスクに直結します。
なぜイか:影響範囲を確認し、計画的にパッチ適用、すぐ適用できないなら回避策で穴をふさぎます。脆弱性管理の基本手順そのものです。
誤答の理由:ア(放置)は最悪です。ウ(ホスト名変更)は隠蔽で脆弱性自体は残ります。エ(配色)は無関係です。オ(ログ停止)は侵入の検知を弱め、むしろ危険です。
読み解きのコツ:「既知の脆弱性+修正版あり」は、影響確認→パッチ適用/回避策が定番です。隠蔽・放置は常に誤りです。
他の選択肢はなぜ違う?
- ア放置は侵入リスクに直結する最悪手。
- ウホスト名の変更は隠蔽で、脆弱性自体は残る。
- エ配色変更は無関係。
- オログ停止はむしろ攻撃の検知を困難にする。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。