ホーム > 情報処理安全確保支援士試験 > 2013年 秋期
情報処理安全確保支援士試験 2013年 秋期 午前2 問05
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
イ:脆弱性を利用して改ざんされたWebサイトの画面ショットを識別するための識別子である。
ウ:製品に含まれる脆弱性を識別するための識別子である。(正解)
エ:セキュリティ製品を識別するための識別子である。
解説
CVE(Common Vulnerabilities and Exposures)識別子の説明【午前2 解説】
要点まとめ
- 結論:CVE識別子は製品に含まれる脆弱性を一意に識別するための番号である。
- 根拠:JVNなどの脆弱性対策ポータルサイトで採用され、脆弱性情報の共有と管理に使われている。
- 差がつくポイント:CVEは脆弱性そのものを指す識別子であり、セキュリティ設定や製品自体の識別子ではない点を理解すること。
正解の理由
CVE(Common Vulnerabilities and Exposures)は、ソフトウェアやハードウェア製品に存在する脆弱性を一意に識別するための識別子です。JVNなどの脆弱性対策ポータルサイトは、このCVE番号を用いて脆弱性情報を整理・公開しています。これにより、同じ脆弱性を複数の情報源で混乱なく参照できるようになり、セキュリティ対策の効率化が図られます。したがって、「製品に含まれる脆弱性を識別するための識別子である」ウが正解です。
よくある誤解
CVEは脆弱性そのものを識別する番号であり、セキュリティ設定項目や製品自体、改ざんされた画面の識別子ではありません。これらと混同しやすいので注意が必要です。
解法ステップ
- 問題文の「CVE識別子」が何を指すかを確認する。
- CVEが脆弱性情報の標準的な識別子であることを思い出す。
- 選択肢の内容を「脆弱性」「製品」「設定項目」「画面ショット」などで分類する。
- CVEは「脆弱性を識別する番号」であるため、該当する選択肢を選ぶ。
- 他の選択肢がCVEの定義と合致しないことを確認して除外する。
選択肢別の誤答解説
- ア: セキュリティ設定項目の識別子ではなく、CVEは脆弱性そのものを識別する。
- イ: 改ざんされたWebサイトの画面ショットを識別する番号ではない。
- ウ: 製品に含まれる脆弱性を識別するための識別子であり正解。
- エ: セキュリティ製品自体を識別する番号ではなく、脆弱性に対する識別子である。
補足コラム
CVEは米国のMITRE社が管理しており、世界中のセキュリティベンダーや研究者が利用しています。CVE番号は「CVE-年-番号」の形式で表され、例えば「CVE-2023-12345」のように表記されます。これにより、脆弱性情報の共有や対策の優先順位付けが容易になります。
FAQ
Q: CVE番号はどのように付与されるのですか?
A: 脆弱性が報告されると、MITREが内容を確認し、重複がなければ一意のCVE番号を割り当てます。
A: 脆弱性が報告されると、MITREが内容を確認し、重複がなければ一意のCVE番号を割り当てます。
Q: CVE番号はどこで確認できますか?
A: JVNやNVD(National Vulnerability Database)などの脆弱性情報データベースで検索可能です。
A: JVNやNVD(National Vulnerability Database)などの脆弱性情報データベースで検索可能です。
関連キーワード: CVE識別子, 脆弱性管理, JVN, セキュリティ対策, 脆弱性情報, MITRE, NVD