ホーム > 情報処理安全確保支援士試験 > 2014年 秋期
情報処理安全確保支援士試験 2014年 秋期 午前2 問07
基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
ア:CVSS(正解)
イ:ISMS
ウ:PCI DSS
エ:PMS
解説
基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するものはどれか【午前2 解説】
要点まとめ
- 結論:IT製品の脆弱性の深刻さを評価する基準は「CVSS」である。
- 根拠:CVSSは基本評価基準、現状評価基準、環境評価基準の三つの指標を用いて脆弱性の深刻度を数値化する国際的な標準である。
- 差がつくポイント:ISMSやPCI DSSはセキュリティ管理や基準であり、脆弱性の深刻度評価に特化していない点を理解することが重要。
正解の理由
CVSS(Common Vulnerability Scoring System)は、IT製品やシステムの脆弱性を評価するための標準的なスコアリングシステムです。
この評価は「基本評価基準(Base Metrics)」「現状評価基準(Temporal Metrics)」「環境評価基準(Environmental Metrics)」の三つの基準から構成され、脆弱性の深刻さを客観的かつ定量的に示します。
したがって、問題文の三つの基準で評価するものはア: CVSSが正解です。
この評価は「基本評価基準(Base Metrics)」「現状評価基準(Temporal Metrics)」「環境評価基準(Environmental Metrics)」の三つの基準から構成され、脆弱性の深刻さを客観的かつ定量的に示します。
したがって、問題文の三つの基準で評価するものはア: CVSSが正解です。
よくある誤解
ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度評価とは異なります。
PCI DSSはクレジットカード情報保護のための基準で、脆弱性評価の指標ではありません。
PCI DSSはクレジットカード情報保護のための基準で、脆弱性評価の指標ではありません。
解法ステップ
- 問題文の「基本評価基準」「現状評価基準」「環境評価基準」という三つの基準に注目する。
- それぞれの基準が脆弱性の深刻度を評価するための指標であることを理解する。
- 選択肢の中で脆弱性評価に関わるものを選ぶ。
- CVSSがこれら三つの基準を用いる国際標準であることを確認する。
- 他の選択肢(ISMS、PCI DSS、PMS)が脆弱性評価基準ではないことを確認し、CVSSを選択する。
選択肢別の誤答解説
- ア: CVSS
正解。脆弱性の深刻度を三つの基準で評価する国際標準のスコアリングシステム。 - イ: ISMS
情報セキュリティマネジメントシステムの略称で、組織のセキュリティ管理体制の枠組み。脆弱性評価基準ではない。 - ウ: PCI DSS
クレジットカード情報の保護を目的としたセキュリティ基準。脆弱性の深刻度評価のための基準ではない。 - エ: PMS
プロジェクトマネジメントシステムの略称であり、セキュリティ脆弱性評価とは無関係。
補足コラム
CVSSは脆弱性の深刻度を0から10のスコアで表し、対応の優先順位付けに役立ちます。
基本評価基準は脆弱性の技術的な特性を評価し、現状評価基準は時間経過による影響を考慮、環境評価基準は利用環境に応じた影響度を評価します。
これにより、単なる技術的な脆弱性だけでなく、実際の運用環境におけるリスクを総合的に判断可能です。
基本評価基準は脆弱性の技術的な特性を評価し、現状評価基準は時間経過による影響を考慮、環境評価基準は利用環境に応じた影響度を評価します。
これにより、単なる技術的な脆弱性だけでなく、実際の運用環境におけるリスクを総合的に判断可能です。
FAQ
Q: CVSSのスコアはどのように活用されますか?
A: 脆弱性の優先順位付けや対応策の検討に利用され、リスク管理の指標として重要です。
A: 脆弱性の優先順位付けや対応策の検討に利用され、リスク管理の指標として重要です。
Q: ISMSとCVSSの違いは何ですか?
A: ISMSは組織の情報セキュリティ管理体制の枠組みで、CVSSは脆弱性の深刻度を評価する技術的な指標です。
A: ISMSは組織の情報セキュリティ管理体制の枠組みで、CVSSは脆弱性の深刻度を評価する技術的な指標です。
関連キーワード: CVSS, 脆弱性評価, セキュリティ基準, 基本評価基準, 現状評価基準, 環境評価基準