ホーム > 情報処理安全確保支援士試験 > 2018年 秋期
情報処理安全確保支援士試験 2018年 秋期 午前2 問02
JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子
イ:脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
ウ:製品に含まれる脆弱性を識別するための識別子(正解)
エ:セキュリティ製品を識別するための識別子
解説
CVE(Common Vulnerabilities and Exposures)識別子の説明【午前2 解説】
要点まとめ
- 結論:CVE識別子は製品に含まれる脆弱性を一意に識別するための番号です。
- 根拠:JVNなどの脆弱性対策情報ポータルサイトで利用され、脆弱性情報の共有と管理に役立ちます。
- 差がつくポイント:CVEは脆弱性そのものを指す識別子であり、セキュリティ設定や製品自体の識別子ではありません。
正解の理由
CVE識別子は「Common Vulnerabilities and Exposures」の略で、ソフトウェアやハードウェア製品に存在する脆弱性を一意に識別するための標準的な番号体系です。JVN(Japan Vulnerability Notes)などの脆弱性情報ポータルサイトは、このCVE番号を用いて脆弱性情報を整理・公開しています。これにより、異なるベンダーやセキュリティツール間で脆弱性情報の共有が容易になり、対策の効率化が図れます。したがって、「製品に含まれる脆弱性を識別するための識別子」であるウが正解です。
よくある誤解
CVEは製品やセキュリティ設定、スクリーンショットを識別するものではありません。脆弱性そのものを特定するための識別子である点を誤解しやすいです。
解法ステップ
- 問題文の「CVE識別子」が何を指すかを確認する。
- CVEの正式名称「Common Vulnerabilities and Exposures」を思い出す。
- CVEが脆弱性を一意に識別する番号であることを理解する。
- 選択肢の内容を「脆弱性」「製品」「設定」などのキーワードで比較する。
- 「製品に含まれる脆弱性を識別するための識別子」であるウを選ぶ。
選択肢別の誤答解説
- ア: セキュリティ設定項目の識別子ではなく、CVEは脆弱性そのものを指します。
- イ: 脆弱性が悪用されたWebサイトのスクリーンショットを識別するものではありません。
- ウ: 製品に含まれる脆弱性を識別するための識別子であり正解です。
- エ: セキュリティ製品自体を識別する識別子ではなく、脆弱性に対して付与されます。
補足コラム
CVE識別子は「CVE-年-番号」の形式で表され、例えば「CVE-2023-12345」のように表記されます。これにより、世界中のセキュリティ関係者が共通の番号で脆弱性を参照でき、情報共有や対策がスムーズになります。JVNは日本国内向けにCVE情報を翻訳・整理して提供している代表的なポータルサイトです。
FAQ
Q: CVE識別子はどのように付与されるのですか?
A: 脆弱性が報告されると、CVE Numbering Authority(CNA)が番号を割り当て、公開します。
A: 脆弱性が報告されると、CVE Numbering Authority(CNA)が番号を割り当て、公開します。
Q: CVEとJVNの違いは何ですか?
A: CVEは脆弱性の識別番号の体系で、JVNは日本語で脆弱性情報を提供するポータルサイトです。
A: CVEは脆弱性の識別番号の体系で、JVNは日本語で脆弱性情報を提供するポータルサイトです。
関連キーワード: CVE識別子, 脆弱性管理, JVN, セキュリティ情報, 脆弱性対策