応用情報技術者 2021年 秋期 午前2 問41
問題文
基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
選択肢
ア:CVSS(正解)
イ:ISMS
ウ:PCI DSS
エ:PMS
基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか【午前2 解説】
要点まとめ
- 結論:情報システムの脆弱性の深刻度を「基本評価基準」「現状評価基準」「環境評価基準」の三つの基準で評価するのはア: CVSSです。
- 根拠:CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を標準化して評価する国際的な指標で、三つの評価基準を用いて総合スコアを算出します。
- 差がつくポイント:ISMSやPCI DSSはセキュリティ管理や基準であり、脆弱性の深刻度評価のための具体的なスコアリング基準ではない点を理解することが重要です。
正解の理由
CVSSは脆弱性の深刻度を定量的に評価するための標準的なフレームワークであり、基本評価基準(Base)、現状評価基準(Temporal)、環境評価基準(Environmental)の三つの評価軸を持ちます。これにより、脆弱性の影響度を多角的に評価し、優先的な対策の判断に役立てられます。したがって、問題文の三つの基準で評価するものはCVSSが該当します。
よくある誤解
ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度を評価するスコアリングシステムではありません。PCI DSSはクレジットカード情報保護のための基準であり、脆弱性評価の基準ではありません。
解法ステップ
- 問題文の「基本評価基準」「現状評価基準」「環境評価基準」という三つの基準を確認する。
- 各選択肢の役割を整理する(CVSSは脆弱性評価、ISMSは管理体系、PCI DSSは業界基準、PMSは管理システム)。
- 三つの基準で脆弱性の深刻度を評価するものはCVSSであると判断する。
- 正解をアと確定する。
選択肢別の誤答解説
- ア: 正解。CVSSは三つの評価基準で脆弱性の深刻度を定量的に評価する標準的なシステム。
- イ: ISMSは情報セキュリティマネジメントシステムの枠組みであり、脆弱性の深刻度評価のための基準ではない。
- ウ: PCI DSSはクレジットカード情報の保護基準であり、脆弱性の深刻度を評価するための基準ではない。
- エ: PMSはプロジェクトマネジメントシステムなどの略称であり、脆弱性評価とは無関係。
補足コラム
CVSSは脆弱性の評価において広く採用されており、スコアは0.0から10.0までの範囲で示されます。基本評価基準は脆弱性の本質的な特性を評価し、現状評価基準は時間経過や対策状況を反映、環境評価基準は特定の環境における影響度を考慮します。これにより、組織ごとに適切なリスク評価が可能です。
FAQ
Q: CVSSのスコアはどのように活用されますか?
A: 脆弱性の優先順位付けや対策の緊急度判断に利用され、セキュリティ運用の効率化に役立ちます。
A: 脆弱性の優先順位付けや対策の緊急度判断に利用され、セキュリティ運用の効率化に役立ちます。
Q: ISMSとCVSSはどのように違いますか?
A: ISMSは情報セキュリティ管理の枠組みであり、CVSSは脆弱性の深刻度を数値化する評価システムです。
A: ISMSは情報セキュリティ管理の枠組みであり、CVSSは脆弱性の深刻度を数値化する評価システムです。
関連キーワード: CVSS, 脆弱性評価、セキュリティスコアリング、基本評価基準、現状評価基準、環境評価基準
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!