FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:B社では、業務で利用している外部製のソフトウェア部品(ライブ…
問題
B社では、業務で利用している外部製のソフトウェア部品(ライブラリ)に重大な脆弱性が見つかり、提供元から更新版が公開された。B社のシステムは多数のサーバでこの部品を使っており、どのサーバが影響を受けるか即座には分からない状態だった。担当者は限られた時間で対応の優先順位を付ける必要がある。
対応の進め方として、最も適切なものはどれか。
- ア まず全サーバの電源を切ってから考える。
- イ 脆弱な部品を使っているサーバと影響範囲を洗い出し、重要度の高いものから更新版の適用または回避策を行う。(正解)
- ウ 脆弱性の情報を社外に向けて先に発表する。
- エ 部品の名前を社内で別名に呼び替える。
- オ サーバの設置ラックを並べ替える。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:脆弱な部品を使っているサーバと影響範囲を洗い出し、重要度の高いものから更新版の適用または回避策を行う。
状況の整理:広く使われている部品の脆弱性で、影響範囲が不明です。限られた時間で被害を最小化するには、まずどこに影響するかを把握し、重要なものから手を打つ必要があります。
なぜイか:影響範囲の洗い出し→重要度順の適用/回避は、脆弱性管理の実務手順です。資源が限られるときの正しい優先順位付けといえます。
誤答の理由:ア(全停止)は業務を不必要に止め現実的ではありません。ウ(先に社外発表)は順序が不適切です。エ(呼び替え)・オ(ラック並べ替え)は無意味です。
読み解きのコツ:影響範囲が不明なら「洗い出し→重要度順」と考えましょう。極端な全停止や隠蔽・誇示は誤りです。
他の選択肢はなぜ違う?
- ア全サーバの電源断は業務を全停止させる過剰反応。
- ウ社外への先行発表は攻撃を招くだけ。
- エ部品の呼び替えは脆弱性を消さない。
- オラックの並べ替えは無関係。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。