ホーム > 情報処理安全確保支援士試験 > 2013年 春期
情報処理安全確保支援士試験 2013年 春期 午前2 問10
基本評価基準,現状評価基準,環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
ア:CVSS(正解)
イ:ISMS
ウ:PCI DSS
エ:PMS
解説
基本評価基準,現状評価基準,環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価するものはどれか【午前2 解説】
要点まとめ
- 結論:IT製品の脆弱性の深刻度を評価する基準は「CVSS」である。
- 根拠:CVSSは基本評価基準、現状評価基準、環境評価基準の3つの指標で脆弱性の深刻さを定量的に評価する国際標準のフレームワークである。
- 差がつくポイント:ISMSやPCI DSSはセキュリティ管理や基準であり、脆弱性の深刻度評価に特化していない点を理解することが重要である。
正解の理由
「ア: CVSS」はCommon Vulnerability Scoring Systemの略で、IT製品の脆弱性を評価するための標準的なスコアリングシステムです。CVSSは「基本評価基準(Base Metrics)」「現状評価基準(Temporal Metrics)」「環境評価基準(Environmental Metrics)」の3つの基準を用いて、脆弱性の深刻さを数値化し、優先的に対策すべき脆弱性を判断できます。
一方、イのISMSは情報セキュリティマネジメントシステムのことで、組織のセキュリティ管理体制の枠組みを示すものであり、脆弱性評価の基準ではありません。ウのPCI DSSはクレジットカード情報保護のためのセキュリティ基準、エのPMSはプロジェクトマネジメントシステムの略であり、いずれも脆弱性の深刻度評価とは異なります。
一方、イのISMSは情報セキュリティマネジメントシステムのことで、組織のセキュリティ管理体制の枠組みを示すものであり、脆弱性評価の基準ではありません。ウのPCI DSSはクレジットカード情報保護のためのセキュリティ基準、エのPMSはプロジェクトマネジメントシステムの略であり、いずれも脆弱性の深刻度評価とは異なります。
よくある誤解
CVSSは単なる脆弱性のリストではなく、脆弱性の深刻度を数値化する評価基準である点を誤解しやすいです。ISMSやPCI DSSはセキュリティ管理の枠組みであり、脆弱性評価基準ではありません。
解法ステップ
- 問題文の「基本評価基準」「現状評価基準」「環境評価基準」という3つの基準に注目する。
- これらの基準を用いて脆弱性の深刻さを評価するフレームワークを思い出す。
- CVSSがこれら3つの基準を持つ脆弱性評価の国際標準であることを確認する。
- 他の選択肢が脆弱性評価基準ではなく、管理や基準であることを理解し除外する。
- よって「ア: CVSS」が正解と判断する。
選択肢別の誤答解説
- ア: CVSSは脆弱性の深刻度を3つの基準で評価する国際標準のスコアリングシステムで正解。
- イ: ISMSは情報セキュリティマネジメントシステムで、組織のセキュリティ管理体制を示すものであり、脆弱性評価基準ではない。
- ウ: PCI DSSはクレジットカード情報の保護基準であり、脆弱性の深刻度評価とは異なる。
- エ: PMSはプロジェクトマネジメントシステムの略で、セキュリティ脆弱性評価とは無関係。
補足コラム
CVSSは脆弱性の優先順位付けに役立つため、セキュリティパッチの適用やリスク管理において重要な指標です。スコアは0.0から10.0までの範囲で示され、高いほど深刻な脆弱性を意味します。CVSSのバージョン3.1が最新で、より詳細な評価が可能になっています。
FAQ
Q: CVSSの3つの基準は具体的に何を評価しますか?
A: 基本評価基準は脆弱性の技術的特性、現状評価基準は時間経過による影響変化、環境評価基準は利用環境における影響を評価します。
A: 基本評価基準は脆弱性の技術的特性、現状評価基準は時間経過による影響変化、環境評価基準は利用環境における影響を評価します。
Q: ISMSとCVSSはどのように違いますか?
A: ISMSは組織の情報セキュリティ管理体制の枠組みであり、CVSSは脆弱性の深刻度を数値化する評価基準です。
A: ISMSは組織の情報セキュリティ管理体制の枠組みであり、CVSSは脆弱性の深刻度を数値化する評価基準です。
関連キーワード: CVSS, 脆弱性評価, セキュリティスコアリング, 基本評価基準, 現状評価基準, 環境評価基準