本文へスキップ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説:A社が運用するWebサーバには、外部から悪用可能な既知の脆弱…

情報セキュリティ 標準 fe_b_v89_sec_013

問題

A社が運用するWebサーバには、外部から悪用可能な既知の脆弱性が存在し、修正版(セキュリティパッチ)が公開されていることが脆弱性診断で判明した。この脆弱性を悪用されると、サーバへ侵入されるおそれがある。一方で、サーバは24時間稼働しており、更新作業には一時的な停止を伴う。Bさんは対応方針を決める。

対応として、最も適切なものはどれか。

  1. 脆弱性の存在を公表せず、そのまま運用を続ける。
  2. 影響範囲を確認したうえで、計画的に修正版を適用するか、適用までの間は緩和策(回避策)を講じる。(正解)
  3. サーバのホスト名を変更して、攻撃者に気付かれないようにする。
  4. Webサイトの配色を変更する。
  5. サーバのログ出力を停止して負荷を下げる。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

正解と解説

正解:影響範囲を確認したうえで、計画的に修正版を適用するか、適用までの間は緩和策(回避策)を講じる。

状況の整理:悪用可能な既知の脆弱性に修正版が出ています。稼働を止めにくい事情はありますが、放置は侵入リスクに直結します。

なぜイか:影響範囲を確認し、計画的にパッチ適用、すぐ適用できないなら回避策で穴をふさぎます。脆弱性管理の基本手順そのものです。

誤答の理由:ア(放置)は最悪です。ウ(ホスト名変更)は隠蔽で脆弱性自体は残ります。エ(配色)は無関係です。オ(ログ停止)は侵入の検知を弱め、むしろ危険です。

読み解きのコツ:「既知の脆弱性+修正版あり」は、影響確認→パッチ適用/回避策が定番です。隠蔽・放置は常に誤りです。

他の選択肢はなぜ違う?

  • 放置は侵入リスクに直結する最悪手。
  • ホスト名の変更は隠蔽で、脆弱性自体は残る。
  • 配色変更は無関係。
  • ログ停止はむしろ攻撃の検知を困難にする。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。

公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。

参考範囲: 2026年度現行科目B・シラバスVer.9.x参考

参考文献・出典(公式情報)

RELATED

関連問題