ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問13
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
ア:CVSS(正解)
イ:ISMS
ウ:PCI DSS
エ:PMS
解説
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか【午前2 解説】
要点まとめ
- 結論:脆弱性の深刻度評価に用いられるのは「CVSS」である。
- 根拠:CVSSは基本評価基準、現状評価基準、環境評価基準の三つの基準で脆弱性を体系的に評価する国際標準の指標である。
- 差がつくポイント:ISMSやPCI DSSはセキュリティ管理や基準であり、脆弱性の深刻度評価のための具体的なスコアリング基準ではない点を理解することが重要。
正解の理由
CVSS(Common Vulnerability Scoring System)は、情報システムの脆弱性を評価するための標準的な枠組みです。基本評価基準(Base Metrics)で脆弱性の本質的な特性を評価し、現状評価基準(Temporal Metrics)で時間経過や対策状況を反映し、環境評価基準(Environmental Metrics)で利用環境に応じた影響度を加味します。これにより、脆弱性の深刻度を総合的かつ客観的に評価できるため、選択肢の中で唯一正解となります。
よくある誤解
ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度を数値化するものではありません。PCI DSSはクレジットカード情報保護のための基準であり、脆弱性評価の指標ではありません。
解法ステップ
- 問題文の「基本評価基準、現状評価基準、環境評価基準」というキーワードに注目する。
- これらの基準を用いて脆弱性の深刻度を評価する枠組みを思い出す。
- CVSSがこれら三つの基準を持つ脆弱性評価の国際標準であることを確認する。
- 他の選択肢(ISMS、PCI DSS、PMS)が脆弱性評価の基準ではないことを理解する。
- よって、正解はアのCVSSと判断する。
選択肢別の誤答解説
- ア: CVSS
正解。三つの評価基準で脆弱性の深刻度を体系的に評価する国際標準の指標。 - イ: ISMS
情報セキュリティマネジメントシステムの枠組みであり、脆弱性の深刻度評価基準ではない。 - ウ: PCI DSS
クレジットカード情報の保護基準であり、脆弱性の評価指標ではない。 - エ: PMS
プロジェクトマネジメントシステムの略称であり、脆弱性評価とは無関係。
補足コラム
CVSSは現在バージョン3.1が主流で、脆弱性の評価を数値(0.0〜10.0)で示します。これにより、セキュリティ担当者は優先的に対処すべき脆弱性を判断しやすくなります。ISMSは組織全体の情報セキュリティ管理体制を構築・運用するための枠組みであり、PCI DSSは特に決済カード業界向けのセキュリティ基準です。PMSは一般的にプロジェクト管理に関する用語であり、情報セキュリティの脆弱性評価とは異なります。
FAQ
Q: CVSSの三つの評価基準は何ですか?
A: 基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)です。
A: 基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)です。
Q: ISMSは脆弱性評価に使えますか?
A: ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度を数値化する評価基準ではありません。
A: ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度を数値化する評価基準ではありません。
Q: PCI DSSはどのような目的の基準ですか?
A: PCI DSSはクレジットカード情報の保護を目的としたセキュリティ基準です。
A: PCI DSSはクレジットカード情報の保護を目的としたセキュリティ基準です。
関連キーワード: CVSS, 脆弱性評価, 基本評価基準, 現状評価基準, 環境評価基準, ISMS, PCI DSS, 情報セキュリティ