IPA情報セキュリティスキルマップ構築の調査研究9-06
セキュリティホールやパッチについての情報源として、次のうち参
考にすべきではないものはどれか。
ア 行政や公的機関がその職務として情報提供を行っているサイト
イ セキュリティサービス事業者が、SSLなどサーバ認証が可能な形
で情報提供しているサイト
ウ ソフトウェアベンダからの、緊急事態なので異例の形で対応す
る旨とともにパッチが添付された電子メール
エ ソフトウェアベンダがパッチのアップデート用にASP事業者と契
約して提供しているサイト
解答
ウ ソフトウェアベンダからの、緊急事態なので異例の形で対応す
る旨とともにパッチが添付された電子メール
◇セキュリティホール とは。。。
ソフトウェアの設計ミスなどによって生じたシステムのセキュリ
ティ上の弱点のことです。
インターネットに公開されているサーバは誰でもアクセスできる
ため、セキュリティホールを放置しておくと、攻撃者(クラッカー)
に不正アクセスされる恐れがあります。
攻撃を受けると、外部のユーザが本来実行できない操作が可能に
なるため、サーバ内の情報が改ざんされたり、機密データが漏え
いしたり、他のコンピュータへ不正アクセスするための踏み台に
利用されたりします。
また、最近はワームがコンピュータに感染する糸口としてセキュ
リティホールを使うケースが急増しています。
◇セキュリティパッチ とは。。。
プログラムの不具合への応急処置的なつぎ当てのことで修正を行
なうための変更点(差分情報)のみを抜き出したファイルのことです。
パッチを使って修正することを「パッチを当てる」と言います。
> ア 行政や公的機関がその職務として情報提供を行っているサイト
行政や公的機関から、セキュリティホールやパッチについての情報
が提供されます。
情報セキュリティに関する情報を収集することも重要な作業になり
ます。
代表的な機関を挙げます。
◇IPA とは。。。
Information-technology Promotion Agency/JAPANの略です。
情報処理振興事業協会の略称です。
IPAでは、パブリックサービスとして、情報セキュリティに関する
リスクと対策に関する啓発、情報発信を行っています。
情報セキュリティに関しては、ウイルス対策情報の広報、不正ア
クセスに関する対策。情報処置に関する知識の啓もうと、人材の
教育を行っています。
◇JPCERT/CC とは。。。
Japan Computer Emergency Response Team/Coordination Center
コンピュータ緊急対応センターの略称です。
非営利団体で、特定の政府機関や企業からは独立し、中立の組織
として活動しています。
JPCERT/CCは、インターネットを介して発生する侵入やサービス妨
害などのセキュリティインシデントについて、日本国内のサイト
に関する報告の受け付け、対応の支援、発生状況の把握、手口の
分析、再発防止のための対策の検討と助言などを、技術的な立場
から行っています。
> イ セキュリティサービス事業者が、SSLなどサーバ認証が可能な形
> で情報提供しているサイト
セキュリティサービス事業者もセキュリティホールやパッチについ
ての情報を提供しています。
サーバ認証により提供サイトが確実にそのセキュリティサービス事
業者であることを確認します。
> ウ ソフトウェアベンダからの、緊急事態なので異例の形で対応す
> る旨とともにパッチが添付された電子メール
誤った記述です。
悪意のある攻撃者が、ソフトウェアベンダになりすまして電子メー
ルを送付している可能性があります。
電子メールに添付されたファイルの取扱いは慎重に行う必要があり
ます。
> エ ソフトウェアベンダがパッチのアップデート用にASP事業者と契
> 約して提供しているサイト
ソフトウェアベンダから、パッチなどが提供されることがあります。
サーバ認証により提供サイトが確実にそのソフトウェアベンダやASP
事業者であることを確認します。
考にすべきではないものはどれか。
ア 行政や公的機関がその職務として情報提供を行っているサイト
イ セキュリティサービス事業者が、SSLなどサーバ認証が可能な形
で情報提供しているサイト
ウ ソフトウェアベンダからの、緊急事態なので異例の形で対応す
る旨とともにパッチが添付された電子メール
エ ソフトウェアベンダがパッチのアップデート用にASP事業者と契
約して提供しているサイト
解説
難易度 ★★解答
ウ ソフトウェアベンダからの、緊急事態なので異例の形で対応す
る旨とともにパッチが添付された電子メール
◇セキュリティホール とは。。。
ソフトウェアの設計ミスなどによって生じたシステムのセキュリ
ティ上の弱点のことです。
インターネットに公開されているサーバは誰でもアクセスできる
ため、セキュリティホールを放置しておくと、攻撃者(クラッカー)
に不正アクセスされる恐れがあります。
攻撃を受けると、外部のユーザが本来実行できない操作が可能に
なるため、サーバ内の情報が改ざんされたり、機密データが漏え
いしたり、他のコンピュータへ不正アクセスするための踏み台に
利用されたりします。
また、最近はワームがコンピュータに感染する糸口としてセキュ
リティホールを使うケースが急増しています。
◇セキュリティパッチ とは。。。
プログラムの不具合への応急処置的なつぎ当てのことで修正を行
なうための変更点(差分情報)のみを抜き出したファイルのことです。
パッチを使って修正することを「パッチを当てる」と言います。
> ア 行政や公的機関がその職務として情報提供を行っているサイト
行政や公的機関から、セキュリティホールやパッチについての情報
が提供されます。
情報セキュリティに関する情報を収集することも重要な作業になり
ます。
代表的な機関を挙げます。
◇IPA とは。。。
Information-technology Promotion Agency/JAPANの略です。
情報処理振興事業協会の略称です。
IPAでは、パブリックサービスとして、情報セキュリティに関する
リスクと対策に関する啓発、情報発信を行っています。
情報セキュリティに関しては、ウイルス対策情報の広報、不正ア
クセスに関する対策。情報処置に関する知識の啓もうと、人材の
教育を行っています。
◇JPCERT/CC とは。。。
Japan Computer Emergency Response Team/Coordination Center
コンピュータ緊急対応センターの略称です。
非営利団体で、特定の政府機関や企業からは独立し、中立の組織
として活動しています。
JPCERT/CCは、インターネットを介して発生する侵入やサービス妨
害などのセキュリティインシデントについて、日本国内のサイト
に関する報告の受け付け、対応の支援、発生状況の把握、手口の
分析、再発防止のための対策の検討と助言などを、技術的な立場
から行っています。
> イ セキュリティサービス事業者が、SSLなどサーバ認証が可能な形
> で情報提供しているサイト
セキュリティサービス事業者もセキュリティホールやパッチについ
ての情報を提供しています。
サーバ認証により提供サイトが確実にそのセキュリティサービス事
業者であることを確認します。
> ウ ソフトウェアベンダからの、緊急事態なので異例の形で対応す
> る旨とともにパッチが添付された電子メール
誤った記述です。
悪意のある攻撃者が、ソフトウェアベンダになりすまして電子メー
ルを送付している可能性があります。
電子メールに添付されたファイルの取扱いは慎重に行う必要があり
ます。
> エ ソフトウェアベンダがパッチのアップデート用にASP事業者と契
> 約して提供しているサイト
ソフトウェアベンダから、パッチなどが提供されることがあります。
サーバ認証により提供サイトが確実にそのソフトウェアベンダやASP
事業者であることを確認します。