ソフトウェア製品の脆弱性を第三者が発見し、その脆弱性をJPCERT コーディネーションセンターが製品開発者に通知した。その場合における製品開発者の対応のうち、“情報セキュリティ早期警戒パートナーシップガイドライン (2019年5月) ”に照らして適切なものはどれか。
ア ISMS認証を取得している場合、ISMS認証の停止の手続をJPCERTコーディネーションセンターに依頼する。
イ 脆弱性関連の情報を集計し、統計情報としてIPAのWebサイトで公表する。
ウ 脆弱性情報の公表に関するスケジュールを JPCERTコーディネーションセンターと調整し、決定する。
エ 脆弱性の対応状況をJVNに書き込み、公表する。
ウ
情報セキュリティ早期警戒 パートナーシップガイドライン の W.ソフトウエア製品に係る脆弱性関連情報取扱に以下の記載がある。
1) 発見者は、IPA に脆弱性関連情報を届け出る
2) IPA は、受け取った脆弱性関連情報を、原則として JPCERT/CC に通知する
3) JPCERT/CC は、脆弱性関連情報に関係する製品開発者を特定し、製品開発者に 脆弱性関連情報を通知する
4) 製品開発者は、脆弱性検証を行い、その結果を JPCERT/CC に報告する
5) JPCERT/CC と製品開発者は、対策方法の作成や海外の調整機関との調整に要する期間、当該脆弱性情報流出に係るリスクを考慮しつつ、脆弱性情報の公表に関するスケジュールを調整し決定する
6) 製品開発者は、脆弱性情報の公表日までに対策方法を作成するよう努める
7) 製品開発者は、製品利用者に生じるリスクを低減できると判断した場合、JPCERT/CC と調整した上で、公表日以前に製品利用者に脆弱性検証の結果、対策方法および対応状況について通知することができる
8) IPA および JPCERT/CC は、脆弱性情報と、3)にて JPCERT/CC から連絡したすべての製品開発者の脆弱性検証の結果、対策方法および対応状況を公表する
9) IPA は統計情報を、原則、四半期ごとに公表する
JVN (Japan Vulnerability Notes) は、JPCERT/CC (JPCERTコーディネーションセンター) とIPAが運営している脆弱性対策情報ポータルサイトである。日本国内で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している。
| 問37 | 目次 | 問39 |