応用情報技術者 2023年 春期 午前2 問40
問題文
ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか。
選択肢
ア:CCE(CommonConfigurationEnumeration)
イ:CVE(CommonVulnerabilitiesandExposures)(正解)
ウ:CVSS(CommonVulnerabilityScoringSystem)
エ:CWE(CommonWeaknessEnumeration)
ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか【午前2 解説】
要点まとめ
- 結論:既知の脆弱性を一意に識別するための標準的な識別子はCVEである。
- 根拠:CVEは「Common Vulnerabilities and Exposures」の略で、脆弱性情報を一意に管理し共有するための識別子を提供する。
- 差がつくポイント:他の選択肢は脆弱性の分類や評価、設定の識別に使われ、脆弱性そのものの一意識別には使われない点を理解すること。
正解の理由
イ: CVE(Common Vulnerabilities and Exposures)は、ソフトウェアの脆弱性やセキュリティ上の問題を一意に識別するための識別子を提供します。これにより、世界中のセキュリティ関係者が同じ脆弱性を共通認識として扱い、情報共有や対策が効率的に行えます。
よくある誤解
CVEは脆弱性の深刻度を評価するものではなく、単に識別するための番号である点を誤解しやすいです。評価はCVSSが担当します。
解法ステップ
- 問題文の「既知の脆弱性を一意に識別する」とある点に注目する。
- 各選択肢の略称の意味を確認する。
- 脆弱性の識別子として使われるのはCVEであることを思い出す。
- 他の選択肢は分類(CWE)、評価(CVSS)、設定識別(CCE)であるため除外する。
- 正解はイと判断する。
選択肢別の誤答解説
- ア: CCEは設定や構成の識別子であり、脆弱性そのものの識別には使わない。
- イ: CVEは脆弱性を一意に識別するための標準的な識別子で正解。
- ウ: CVSSは脆弱性の深刻度を数値化する評価基準であり、識別子ではない。
- エ: CWEは脆弱性の種類や弱点の分類を行うもので、個別の脆弱性識別には使わない。
補足コラム
CVE番号は「CVE-年-番号」の形式で表され、例えば「CVE-2023-12345」のように表記されます。これにより、同じ脆弱性を指す情報が世界中で一貫して共有されます。CVSSはこのCVEに対してスコアを付け、脆弱性の優先度を判断する際に利用されます。
FAQ
Q: CVEとCVSSはどのように連携していますか?
A: CVEは脆弱性を識別し、CVSSはその脆弱性の深刻度を評価して優先順位付けに役立てます。
A: CVEは脆弱性を識別し、CVSSはその脆弱性の深刻度を評価して優先順位付けに役立てます。
Q: CWEは何のために使われますか?
A: CWEは脆弱性の根本的な原因や種類を分類し、開発者が弱点を理解し対策を講じるために使われます。
A: CWEは脆弱性の根本的な原因や種類を分類し、開発者が弱点を理解し対策を講じるために使われます。
関連キーワード: CVE, 脆弱性識別、セキュリティ標準、CVSS, CWE, CCE
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!