セキュリティホールに対する組織的取組み：情報セキュリティアドミニストレータ試験対策

>・インターネット・エクスプローラー(IE)

>Microsoft InternetExplorer5.01、5.5、6、6forWindowsServer2003

>インターネット・エクスプローラーの5.01、5.5、6、
>6 for Windows Server2003

　脆弱性が見つかった製品はMicrosoft InternetExplorer5.01、5.5、
　6、6forWindowsServer2003でした。

　◇脆弱性　とは。。。

　　情報資産の機密性、完全性、可用性が脅威から防御されていない点（弱み）

　◇セキュリティホール　とは。。。

　　コンピュータのOSや、その上で動くアプリケーションプログラムの多くは
　　バグが内在しています。そのバグのうち悪用することによって、セキュリティ上
　　の問題を招く可能性のある不具合のことをセキュリティホールといいます。

>・不正アクセスや改竄が発生する。

>ウェブ、メールを介してアプリケーションの異常終了や、任意のファイル
>を読み取られたり削除される。

>ウェブやメールを介して、アプリケーションの異常終了や、ファイルを
>読み取られたり、削除される可能性がある。

　深刻度は最大の「緊急」でした。早急な対応が必要ということです。
　早急に対応をとるべく組織として体制、手順が確立されている必要があります。

>・修正(パッチ)プログラムを信用して安易にパッチを当てる事は
> 実はとても危険な事ですね。
>・修正(パッチ)プログラムが新しいバグを呼んだり、他のプログラム
> に悪影響を及ぼす事もありますから。
>・実は私も何も考えず、パッチを当ててます。
>・あと一つ、ネットに関係するセキュリティホールなのにネットから
> 修正(パッチ)プログラムをダウンロードする事もおかしいですよね。
> (前から疑問になっているのだが、世間はどう思っているのだろう!?)

　パッチ適用時の留意事項を挙げておきます。
　・同じ環境を用意し、事前に適用し問題がないことを確認する。
　・バックアップを取得し、パッチ適用前の環境に戻せるようにしておく。
　・複数のパッチがある場合、タイムスタンプの古いものから適用する。

　ただし、情報資産の重要度を考慮し、セキュリティポリシに応じた手順を策定し、
　それに従い作業をすることになります。

>MS製品は、Windows Updateを利用して、常に最新の状態を保つ必要があり
>ますね。また、ウイルス対策製品についても、インストールしただけで安
>心せず、パターンファイルを常に最新のバージョンにし、まめにスキャン
>する必要がありますね。

　WindowsUpdateは最新パッチが提供されるとアラートが出されますが、
　セキュリティを取り巻く状況は日々刻々と変化しています。
　重要なことは最新パッチに関する情報取得及び対策がすぐにできる管理体制が
　確立されていることです。

>長々とした長文ではなく、実際の試験対策であることも考え、短文で解答
>しました。

　いい訓練になると思います。
　ポイントを的確に押さえていくという形で考えてみてください。