製品のセキュリティホール：情報セキュリティアドミニストレータ試験対策

>ダウンロードしたファイルの不正プログラム

　脅威とは情報資産の機密性、完全性、可用性を失わせ、
　被害を与える要因ですので、この回答でＯＫでしょう。

　ウィルス等のように不正なプログラム自体が悪さをする場合は、
　そのもの自体が脅威となります。

◇ウィルス　とは。。。

　　自己伝染、潜伏、発病のいずれかの機能を有する不正プログラムのことです。

>・ソフトウェアのセキュリティホール(バグ)

>”Windows Media Player 7”のソフトウェアのバグ（セキュリティホール）

　脆弱性とは、情報資産の機密性、完全性、可用性が脅威から
　防御されていない点（弱み）ですので、この回答でＯＫでしょう。

>[完全性]
>・ウィルスのターゲットとなり、ハードディスクなどが破壊され、
>　情報資産に多大な被害を及ぼす。

>（可用性・完全性の欠如）
>ハードディスクのフォーマットによるデータの紛失。
>（機密性・完全性の欠如）
>ローカルディスク上のファイルデータの盗聴・改ざん。

　このようなセキュリティホールが存在すると、
　情報資産の３つの要素を維持するのが困難になります。
　ハードディスクの破壊というリスクが想定される場合、どのような対策をしますか？
　そうです。定期的にバックアップを取得するとか冗長化（二重化）などの対策が
　必要になってきます。

>・絶えず、新しい情報を収集する。
>・修正パッチなどが配布されていたら、修正パッチを当てる。
>修正パッチを当てる際は他に影響が無いかなどの検討が必要ですね。

>信頼のおけるサイト以外からは、ファイルをダウンロードしない。
>セキュリティ駆除ソフトのパターンファイルを常に最新の状況にしておく。
>販売・公開されたばかりのソフトは導入しない。

　その通りですね。
　セキュアな環境を維持する3要素を挙げておきましょう。

　・最新セキュリティ情報の入手
　・新たな問題に対する対処
　・日常の監視

　セキュアな環境に対する意識がたいへん重要となってきます。
　この意識が欠けてしまうと、新しいセキュリティ情報の入手を行わなくなってしまいます。
　新しいセキュリティ情報の入手を行わなくなると、発生している問題が判らず
　対処が遅れるということになり、さらには、日常の監視を怠る結果に繋がってくるのです。
　セキュアな環境にするためには、ソフトウェアやハードウェアの機能だけではなく、
　管理者の意識が必要となります。

　あと(3)でも言いましたが、定期的なバックアップ、データの冗長化も
　対策として挙げておきます。
　これも大事ですよ。

>一般的にソフトウェアには何らかのバグがあるものなので、
>販売(公開)されて間もない製品等はすぐに導入しないというのも
>安全対策例になるのではないかと思いました。
>販売されてからある程度時期が経過し、存在するバグに対するパッチが出てから、
>導入することで、大きなセキュリティホールに対する脅威は低くなると思います。

　ありがとうございます。この問題はすごく難しい問題ですよね。
　新製品や新たなパッチをすぐに使用／適用するのが良いか否かというのは、
　どちらが良いか一概には言えません。
　現状把握とリスクアセスメントを行った上で、どちらにするか決定するのが良いでしょう。