応用情報技術者 2024年 秋期 午前2 問41
問題文
JVN などの脆弱性情報サイトで採用されている CVE (Common Vulnerabilities and Exposures) 識別子の説明はどれか。
選択肢
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子
イ:脆弱性が悪用されて改ざんされた Webサイトのスクリーンショットを識別するための識別子
ウ:製品に含まれる脆弱性を識別するための識別子(正解)
エ:セキュリティ製品の種別を識別するための識別子
CVE識別子の説明【午前2 解説】
要点まとめ
- 結論:CVE識別子は製品に含まれる脆弱性を一意に識別するための番号です。
- 根拠:JVNなどの脆弱性情報サイトで用いられ、脆弱性情報の共有と管理を容易にします。
- 差がつくポイント:CVEは脆弱性そのものを指す識別子であり、設定項目や製品種別ではない点を理解しましょう。
正解の理由
選択肢ウは「製品に含まれる脆弱性を識別するための識別子」とあり、CVEの定義に合致します。CVEはCommon Vulnerabilities and Exposuresの略で、脆弱性情報を一意に識別し、情報共有を円滑にするための標準的な識別子です。JVN(Japan Vulnerability Notes)などの脆弱性情報サイトでもこのCVE番号を用いて脆弱性を管理しています。
よくある誤解
CVEはセキュリティ設定や製品の種別を識別するものではありません。脆弱性の証拠画像や改ざんされたサイトの識別子でもないため、混同しないよう注意が必要です。
解法ステップ
- 問題文から「CVE識別子」が何を指すかを確認する。
- CVEは脆弱性情報の標準識別子であることを思い出す。
- 選択肢の内容を「脆弱性を識別するかどうか」で比較する。
- 脆弱性以外の識別(設定項目、スクリーンショット、製品種別)は誤りと判断する。
- 「製品に含まれる脆弱性を識別する」選択肢ウを選ぶ。
選択肢別の誤答解説
- ア: セキュリティ設定項目の識別子ではなく、CVEは脆弱性そのものを識別します。
- イ: 脆弱性の証拠画像や改ざんサイトの識別子ではありません。
- ウ: 製品に含まれる脆弱性を識別するための識別子で正解です。
- エ: セキュリティ製品の種別を識別するものではなく、脆弱性情報に特化しています。
補足コラム
CVEは1999年にMITRE社が開始したプロジェクトで、世界中のセキュリティ関係者が共通の番号で脆弱性を管理できるように設計されました。CVE番号は「CVE-年-番号」の形式で表され、例えば「CVE-2023-12345」のように表記されます。これにより、複数のセキュリティベンダーや情報サイトで同じ脆弱性を一意に参照可能です。
FAQ
Q: CVE番号はどのように付与されますか?
A: 脆弱性が報告されると、CVE運営機関が内容を確認し、番号を割り当てます。
A: 脆弱性が報告されると、CVE運営機関が内容を確認し、番号を割り当てます。
Q: CVEとJVNの関係は何ですか?
A: JVNは日本の脆弱性情報サイトで、CVE番号を用いて脆弱性情報を提供しています。
A: JVNは日本の脆弱性情報サイトで、CVE番号を用いて脆弱性情報を提供しています。
関連キーワード: CVE, 脆弱性識別子、JVN, セキュリティ情報、脆弱性管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!