ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問10
JVNなどの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
イ:脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
ウ:製品に含まれる脆弱性を識別するための識別子である。(正解)
エ:セキュリティ製品を識別するための識別子である。
解説
CVE(Common Vulnerabilities and Exposures)識別子の説明【午前2 解説】
要点まとめ
- 結論:CVE識別子は製品に含まれる脆弱性を一意に識別するための番号である。
- 根拠:JVNなどの脆弱性対策ポータルサイトで利用され、脆弱性情報の共有と管理を容易にする。
- 差がつくポイント:CVEは脆弱性そのものを指す識別子であり、設定項目や製品自体を示すものではない点を理解すること。
正解の理由
ウ: 製品に含まれる脆弱性を識別するための識別子である。が正解です。
CVEは「Common Vulnerabilities and Exposures」の略で、ソフトウェアやハードウェア製品に存在する脆弱性を一意に識別するための番号体系です。これにより、世界中のセキュリティ関係者が同じ脆弱性を共通認識で扱え、情報共有や対策が効率的に行えます。
CVEは「Common Vulnerabilities and Exposures」の略で、ソフトウェアやハードウェア製品に存在する脆弱性を一意に識別するための番号体系です。これにより、世界中のセキュリティ関係者が同じ脆弱性を共通認識で扱え、情報共有や対策が効率的に行えます。
よくある誤解
CVEは製品や設定項目、セキュリティ製品自体を識別するものではなく、あくまで「脆弱性」を識別するための番号である点を誤解しやすいです。
解法ステップ
- 問題文の「CVE識別子」が何を指すかを確認する。
- CVEの正式名称「Common Vulnerabilities and Exposures」を思い出す。
- CVEが脆弱性情報の標準的な識別子であることを理解する。
- 選択肢の中で「脆弱性を識別するもの」を選ぶ。
- 他の選択肢が示す内容(設定項目、スクリーンショット、製品識別)と比較し、誤りを判断する。
選択肢別の誤答解説
- ア: セキュリティ設定項目の識別子ではなく、脆弱性そのものを識別する番号です。
- イ: 脆弱性の悪用例や改ざんされたWebサイトのスクリーンショットを識別するものではありません。
- ウ: 正解。製品に含まれる脆弱性を一意に識別する番号です。
- エ: セキュリティ製品自体を識別する番号ではなく、脆弱性を識別します。
補足コラム
CVE識別子は「CVE-年-番号」という形式で表されます。例えば「CVE-2023-12345」のように、発見年と連番で管理されます。これにより、複数のベンダーやツール間で脆弱性情報の連携がスムーズになります。JVN(Japan Vulnerability Notes)は日本の脆弱性情報を集約し、CVE番号を用いて情報提供しています。
FAQ
Q: CVE番号は誰が付与するのですか?
A: CVE番号はCVE Numbering Authority(CNA)と呼ばれる認定機関が付与します。各ベンダーやセキュリティ組織がCNAとして登録されています。
A: CVE番号はCVE Numbering Authority(CNA)と呼ばれる認定機関が付与します。各ベンダーやセキュリティ組織がCNAとして登録されています。
Q: CVEと脆弱性対策の関係は?
A: CVE番号を使うことで、脆弱性の特定と対策情報の共有が容易になり、迅速な対応が可能になります。
A: CVE番号を使うことで、脆弱性の特定と対策情報の共有が容易になり、迅速な対応が可能になります。
関連キーワード: CVE識別子, 脆弱性管理, JVN, セキュリティ番号, 脆弱性対策