ホーム > 情報処理安全確保支援士試験 > 2019年秋期

情報処理安全確保支援士試験 2019年秋期午前2 問09

基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。

ア：CVSS（正解）

イ：ISMS

ウ：PCI DSS

エ：PMS

解説

基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか【午前2 解説】

要点まとめ

結論：情報システムの脆弱性の深刻度を「基本評価基準」「現状評価基準」「環境評価基準」の三つの基準で評価するのはCVSSです。
根拠：CVSS（Common Vulnerability Scoring System）は脆弱性の影響度を標準化して評価する国際的な指標で、三つの評価基準を用いて総合スコアを算出します。
差がつくポイント：ISMSやPCI DSSはセキュリティ管理や基準の枠組みであり、脆弱性の深刻度評価に特化した三基準の体系を持つのはCVSSだけです。

正解の理由

CVSSは、脆弱性の深刻度を客観的かつ標準的に評価するために設計されたスコアリングシステムです。
「基本評価基準」は脆弱性の本質的な特性を評価し、「現状評価基準」は脆弱性が存在する環境の状態を反映し、「環境評価基準」は利用環境に応じた影響度を加味します。
これら三つの基準を組み合わせて総合的なスコアを算出し、脆弱性の優先順位付けや対策の指針に活用されます。
したがって、問題文の三つの基準で評価するものはCVSSが正解です。

よくある誤解

ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度評価基準ではありません。
PCI DSSはクレジットカード情報保護のための基準で、脆弱性評価の三基準体系は持ちません。

解法ステップ

問題文の「基本評価基準」「現状評価基準」「環境評価基準」という三つの基準に注目する。
それぞれの基準を用いて脆弱性の深刻度を評価する仕組みを知っているか確認する。
CVSSがこれら三つの基準を用いて脆弱性スコアを算出することを思い出す。
他の選択肢（ISMS、PCI DSS、PMS）が脆弱性評価の三基準体系を持たないことを確認する。
よって、正解はア: CVSSと判断する。

選択肢別の誤答解説

ア: CVSSは脆弱性の深刻度を三つの基準で評価する国際標準のスコアリングシステムで正解です。
イ: ISMSは情報セキュリティマネジメントシステムの枠組みであり、脆弱性の深刻度評価基準ではありません。
ウ: PCI DSSはクレジットカード情報の保護基準で、脆弱性評価の三基準体系は含みません。
エ: PMSはプロジェクトマネジメントシステムの略称であり、脆弱性評価とは無関係です。

補足コラム

CVSSは現在バージョン3.1が最新で、脆弱性の評価を「基本評価基準（Base Metrics）」「現状評価基準（Temporal Metrics）」「環境評価基準（Environmental Metrics）」の三つに分けて行います。
これにより、脆弱性の本質的な危険度だけでなく、時間経過や利用環境に応じたリスクの変化も反映可能です。
多くのセキュリティ製品や脆弱性情報でCVSSスコアが利用されているため、理解は必須です。

FAQ

Q: CVSSの三つの評価基準は何ですか？
A: 基本評価基準（Base Metrics）、現状評価基準（Temporal Metrics）、環境評価基準（Environmental Metrics）です。

Q: ISMSは脆弱性評価に使えますか？
A: ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度評価基準としては使いません。

関連キーワード: CVSS, 脆弱性評価, セキュリティスコアリング, 基本評価基準, 現状評価基準, 環境評価基準

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2019年 秋期 午前2 問09

解説