情報処理安全確保支援士試験 令和3年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問3(一部、加工あり)】
問3 セキュリティ運用に関する次の記述を読んで、設問1〜4に答えよ。
G社は、従業員1,500名の製造業であり、研究開発に定評がある。従業員は、Webアクセスによる情報収集並びに電子メール(以下、メールという)による営業活動及び情報交換にインターネットを利用している。G社では、情報セキュリティポリシを整備して運用している。G社のシステム構成を図1に、機器及びソフトウェアの概要を表1に、OSの脆弱性修正プログラム(以下、セキュリティパッチという)の現状の配信手順を図2に示す。
a:PCの動作に問題がないこと
「パッチ担当者は、セキュリティパッチを検証LANのPCに適用し、社内で利用しているアプリケーションプログラムを2日間動作させて(a)を確認する。」
図2(セキュリティパッチの現状の配信手順(抜粋))では、セキュリティパッチの配信について、一般的な流れが示されており、常識的に考えれば回答を導き出せそうです。
セキュリティパッチについて確認すると、表1(G社の機器及びソフトウェアの概要(抜粋))の配信サーバの概要に以下の記述があります。
- セキュリティパッチの適用及びソフトウェアの更新を管理する。
- セキュリティパッチ及び更新用のソフトウェアを取得し配信する。
- PCは、セキュリティパッチをOSベンダのサイトから直接ダウンロードするのではなく、配信サーバからダウンロードする。
この内容から、セキュリティパッチは配信サーバとPCとの間でやり取りされることが分かります。
また、図1(G社のシステム構成(概要))によると、配信サーバは内部システムLAN、PCは利用者LANと検証LANに配置されていることが分かります。
これらの前提知識からセキュリティパッチの配信手順を確認すると、PC〜配信サーバ間での配信の前に、検証LANのPCにセキュリティパッチを適用してアプリケーションを動作させ、PCの動作を確認しています。
セキュリティパッチを適用する場合、これまでの正常動作している状態に何らかの影響が出る可能性があるため、利用者LANのPCと同様な環境である検証LANのPC上で影響を確認しているということです。