ホーム > 情報処理安全確保支援士試験 > 2018年 春期
情報処理安全確保支援士試験 2018年 春期 午前2 問01
CVSS v3 の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
ア:機密性への影響, どこから攻撃が可能かといった攻撃元区分, 攻撃する際に必要な特権レベルなど, 脆弱性そのものの特性を評価する。(正解)
イ:攻撃される可能性, 利用可能な対策のレベル, 脆弱性情報の信頼性など, 評価時点における脆弱性の特性を評価する。
ウ:脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。
エ:利用者のシステムやネットワークにおける情報セキュリティ対策など, 攻撃の難易度や攻撃による影響度を再評価し, 脆弱性の最終的な深刻度を評価する。
解説
CVSS v3 の基本評価基準とは【午前2 解説】
要点まとめ
- 結論:基本評価基準は脆弱性そのものの特性を評価し、攻撃元区分や特権レベルなどを含む。
- 根拠:CVSS v3は基本評価基準、現状評価基準、環境評価基準の三つで構成され、基本評価基準は脆弱性の本質的な影響を示す。
- 差がつくポイント:攻撃の難易度や環境依存の要素は基本評価基準ではなく、現状評価基準や環境評価基準で評価される点を理解すること。
正解の理由
選択肢アは「機密性への影響」「攻撃元区分」「特権レベル」など、脆弱性そのものの特性を評価する内容であり、CVSS v3の基本評価基準の定義に合致します。基本評価基準は脆弱性の根本的な影響度や攻撃の難易度を示し、時間や環境に依存しない評価を行います。
他の選択肢は評価時点の状況や利用者環境に依存するため、基本評価基準の説明としては不適切です。
他の選択肢は評価時点の状況や利用者環境に依存するため、基本評価基準の説明としては不適切です。
よくある誤解
基本評価基準は「攻撃される可能性」や「利用者の対策状況」を評価するものと誤解されがちですが、これらは現状評価基準や環境評価基準の役割です。
解法ステップ
- CVSS v3の三つの評価基準(基本、現状、環境)を理解する。
- 基本評価基準は脆弱性の本質的な特性を評価することを確認。
- 選択肢の説明文から「脆弱性そのものの特性」を含むものを探す。
- 攻撃元区分や特権レベルなど、基本評価基準の要素が含まれている選択肢を選ぶ。
- 他の選択肢は現状や環境に依存する内容であるため除外する。
選択肢別の誤答解説
- ア: 正解。脆弱性の本質的特性を評価し、基本評価基準の説明に合致。
- イ: 脆弱性の「評価時点」における特性を評価するため、現状評価基準の説明。
- ウ: 脆弱性の悪用リスクを「機会」「正当化」「動機」から評価する内容はCVSS v3には存在しない。
- エ: 利用者の環境や対策状況を評価するため、環境評価基準の説明。
補足コラム
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を定量的に評価するための国際標準です。v3では基本評価基準が脆弱性の根本的な影響を示し、現状評価基準が時間経過や対策状況を反映、環境評価基準が利用者固有の環境に基づく評価を行います。これにより、より実態に即したリスク評価が可能となっています。
FAQ
Q: 基本評価基準はどのような情報を元に評価しますか?
A: 脆弱性の影響範囲、攻撃元の位置、攻撃に必要な特権レベルなど、脆弱性そのものの特性を元に評価します。
A: 脆弱性の影響範囲、攻撃元の位置、攻撃に必要な特権レベルなど、脆弱性そのものの特性を元に評価します。
Q: 現状評価基準と環境評価基準の違いは何ですか?
A: 現状評価基準は評価時点の脆弱性の利用可能性や対策状況を評価し、環境評価基準は利用者のシステム環境に基づき脆弱性の影響度を再評価します。
A: 現状評価基準は評価時点の脆弱性の利用可能性や対策状況を評価し、環境評価基準は利用者のシステム環境に基づき脆弱性の影響度を再評価します。
関連キーワード: CVSS, 脆弱性評価, セキュリティスコアリング, 基本評価基準, 現状評価基準, 環境評価基準