ホーム > 情報処理安全確保支援士試験 > 2014年春期

情報処理安全確保支援士試験 2014年春期午前2 問14

JVN（Japan Vuinerabiity Notes）などの能弱性対策ポータルサイトで採用されているCWE（Common Weakness Enumeration）はどれか。

ア：基本評価基準，現状評価基準，環境評価基準の三つの基準でIT製品の脆弱性を評価する手法

イ：製品を識別するためのプラットフォーム名の一覧（正解）

ウ：セキュリティに関連する設定項目を識別するための識別子

エ：ソフトウェアの脆弱性の種類の一覧

解説

CWE（Common Weakness Enumeration）とは何か【午前2 解説】

要点まとめ

結論：CWEはソフトウェアの脆弱性の種類を体系的に分類した一覧である。
根拠：JVNなどの脆弱性対策ポータルサイトで、脆弱性の共通的な弱点を識別・共有するために用いられている。
差がつくポイント：CWEは「脆弱性の種類」を示すものであり、製品識別や評価基準とは異なる点を正確に理解することが重要。

正解の理由

イは「製品を識別するためのプラットフォーム名の一覧」とありますが、これは誤りです。正しくは「エ」がCWEの説明に該当します。CWEは「ソフトウェアの脆弱性の種類の一覧」であり、脆弱性の共通的な弱点を体系的に分類したものです。JVNなどの脆弱性情報でCWE番号が付与され、脆弱性の種類を特定しやすくしています。

よくある誤解

CWEを製品やプラットフォームの識別子と混同しやすいですが、CWEは脆弱性の「種類」を示す分類体系です。評価基準や設定項目の識別子ではありません。

解法ステップ

問題文の「CWE」の意味を正確に把握する。
選択肢の説明文を「脆弱性の種類の一覧」と照合する。
他の選択肢が示す内容（評価基準、プラットフォーム名、設定項目）とCWEの定義を比較する。
CWEの定義に最も合致する選択肢を選ぶ。

選択肢別の誤答解説

ア: IT製品の脆弱性評価基準の説明であり、CWEの定義とは異なる。
イ: 製品識別のプラットフォーム名一覧はCWEではない。
ウ: セキュリティ設定項目の識別子はCWEの範囲外。
エ: ソフトウェアの脆弱性の種類の一覧であり、CWEの正しい説明。

補足コラム

CWEはMITREが管理する脆弱性の共通弱点リストで、脆弱性管理やセキュリティ対策の基盤として広く利用されています。CWE番号を用いることで、異なる製品や環境間で脆弱性の共通点を把握しやすくなります。

FAQ

Q: CWEとCVSSの違いは何ですか？
A: CWEは脆弱性の種類を分類する一覧で、CVSSは脆弱性の深刻度を数値化する評価基準です。

Q: JVNでCWE番号が付与される意味は？
A: 脆弱性の種類を特定し、対策や情報共有を効率化するためです。

関連キーワード: CWE, 脆弱性分類, JVN, 脆弱性対策, MITRE

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2014年 春期 午前2 問14

解説