ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問07
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
イ:脆弱性が利用され改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
ウ:製品に含まれる脆弱性を識別するための識別子である。(正解)
エ:セキュリティ製品を識別するための識別子である。
解説
CVE(Common Vulnerabilities and Exposures)識別子の説明【午前2 解説】
要点まとめ
- 結論:CVE識別子は製品に含まれる脆弱性を一意に識別するための番号です。
- 根拠:JVNなどの脆弱性対策ポータルサイトで利用され、脆弱性情報の共有と管理に不可欠です。
- 差がつくポイント:CVEは脆弱性そのものを指す識別子であり、設定項目や製品自体を示すものではありません。
正解の理由
CVEは「Common Vulnerabilities and Exposures」の略で、ソフトウェアやハードウェア製品に存在する脆弱性を特定し、共通の識別子を付与する仕組みです。これにより、異なるセキュリティベンダーやユーザー間で脆弱性情報を正確に共有できます。したがって、「製品に含まれる脆弱性を識別するための識別子である」ウが正解です。
よくある誤解
CVEはセキュリティ製品や設定項目を識別するものではなく、脆弱性そのものを特定するための識別子です。混同しやすいので注意しましょう。
解法ステップ
- 問題文の「CVE識別子」が何を指すかを確認する。
- CVEの正式名称「Common Vulnerabilities and Exposures」を思い出す。
- CVEが脆弱性を一意に識別する番号であることを理解する。
- 選択肢の内容と照らし合わせ、脆弱性を示すものを選ぶ。
- 「製品に含まれる脆弱性を識別するための識別子」であるウを選択する。
選択肢別の誤答解説
- ア: セキュリティ設定項目の識別子ではなく、脆弱性そのものを識別します。
- イ: 脆弱性のスクリーンショットを識別する識別子は存在しません。CVEは番号で管理されます。
- ウ: 製品に含まれる脆弱性を識別するための識別子であり正解です。
- エ: セキュリティ製品自体を識別する識別子ではなく、脆弱性に対して付与されます。
補足コラム
CVE識別子は「CVE-年-番号」の形式で表され、例えば「CVE-2023-12345」のように表記されます。これにより、世界中のセキュリティ関係者が同じ脆弱性を指し示すことが可能です。JVNは日本の脆弱性情報を集約し、CVE番号を用いて情報提供しています。
FAQ
Q: CVE番号は誰が付与するのですか?
A: MITRE Corporationが管理し、各国のCVE Numbering Authority(CNA)が割り当てを行います。
A: MITRE Corporationが管理し、各国のCVE Numbering Authority(CNA)が割り当てを行います。
Q: CVEと脆弱性対策はどう関係しますか?
A: CVE番号により脆弱性を特定し、対策情報やパッチの提供が効率的に行われます。
A: CVE番号により脆弱性を特定し、対策情報やパッチの提供が効率的に行われます。
関連キーワード: CVE識別子, 脆弱性管理, JVN, セキュリティ情報, 脆弱性対策