脆弱性管理
情報セキュリティマネジメント試験「脆弱性管理プロセス」の問題
技術的脆弱性を管理するプロセスとして、組織が継続的に行うべき活動の説明として最も適切なものはどれか。
ア脆弱性情報を継続的に収集・評価し、リスクに応じて修正や緩和策を適用していく。
イ脆弱性情報の収集は行わず、不具合が顕在化してから個別に対処すればよい。
ウ公開された脆弱性は影響度を問わず一律に即時適用すればよい。
エ利用中の資産をまったく把握しなくても、提供元からの通知を待てば十分に管理できる。
正解
ア.脆弱性情報を継続的に収集・評価し、リスクに応じて修正や緩和策を適用していく。
技術的脆弱性管理では、利用資産を把握したうえで脆弱性情報を継続的に収集・評価し、リスクの大きさに応じて優先順位を付け、修正(パッチ)や緩和策を適用していくことが求められる。
?選択肢ごとの解説
ア ○技術的脆弱性管理では、利用資産を把握したうえで脆弱性情報を継続的に収集・評価し、リスクの大きさに応じて優先順位を付け、修正(パッチ)や緩和策を適用していくことが求められる。
イ ×情報を収集せず事後対処のみでは被害を招きやすく、継続的管理を行う本問の適切な姿勢に反する。
ウ ×影響度を問わず一律即時適用は現実的でなく不具合の恐れもあり、リスクに応じ判断する本問の方針と異なる。
エ ×利用資産を把握しなければ自組織への影響を判断できず、資産把握を前提とする本問の管理と異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a2-w1-0017
