ホーム > 情報処理安全確保支援士試験 > 2021年 春期
情報処理安全確保支援士試験 2021年 春期 午前2 問08
JVNなどの施弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子
イ:脆弱性が悪用されて改ざんされた Web サイトのスクリーンショットを識別するための識別子
ウ:製品に含まれる脆弱性を識別するための識別子(正解)
エ:セキュリティ製品の種別を識別するための識別子
解説
CVE(Common Vulnerabilities and Exposures)識別子の説明【午前2 解説】
要点まとめ
- 結論:CVE識別子は製品に含まれる脆弱性を一意に識別するための番号です。
- 根拠:JVNなどの脆弱性対策情報ポータルは、CVEを用いて脆弱性情報を体系的に管理・共有しています。
- 差がつくポイント:CVEは脆弱性そのものを識別する識別子であり、設定項目や製品種別ではない点を正確に理解しましょう。
正解の理由
CVE(Common Vulnerabilities and Exposures)は、ソフトウェアやハードウェア製品に存在する脆弱性を一意に識別するための標準的な識別子です。JVN(Japan Vulnerability Notes)などの脆弱性情報ポータルサイトでは、このCVE番号を使って脆弱性情報を整理し、利用者が特定の脆弱性を容易に参照・対策できるようにしています。したがって、「製品に含まれる脆弱性を識別するための識別子」であるウが正解です。
よくある誤解
CVEは「セキュリティ設定項目」や「製品の種別」を識別するものではありません。脆弱性そのものを特定するための識別子である点を混同しやすいので注意が必要です。
解法ステップ
- 問題文の「CVE識別子」が何を指すかを確認する。
- CVEの正式名称「Common Vulnerabilities and Exposures」から意味を推測する。
- 各選択肢が「脆弱性」「設定項目」「製品種別」など何を識別するかを比較する。
- CVEは脆弱性を識別するための番号であることを知っているか、または選択肢の中で最も適切なものを選ぶ。
- 「製品に含まれる脆弱性を識別するための識別子」であるウを選択する。
選択肢別の誤答解説
- ア: セキュリティ設定項目を識別する識別子ではなく、CVEは脆弱性そのものを識別します。
- イ: 脆弱性が悪用されたWebサイトのスクリーンショットを識別する識別子は存在せず、CVEとは無関係です。
- ウ: 製品に含まれる脆弱性を識別するための識別子であり、CVEの定義に合致します。
- エ: セキュリティ製品の種別を識別する識別子ではなく、CVEは脆弱性に関する識別子です。
補足コラム
CVEは米国のMITRE社が管理している脆弱性識別番号で、世界中のセキュリティベンダーや組織が共通の番号を使うことで情報共有が円滑になります。JVNは日本の脆弱性情報をCVE番号と紐づけて提供しており、対策の優先順位付けや影響範囲の把握に役立ちます。
FAQ
Q: CVE番号はどのように付与されるのですか?
A: 脆弱性が報告されると、MITREが内容を確認し、重複がなければ一意のCVE番号を割り当てます。
A: 脆弱性が報告されると、MITREが内容を確認し、重複がなければ一意のCVE番号を割り当てます。
Q: CVE番号はどこで確認できますか?
A: MITREの公式CVEデータベースやJVNなどの脆弱性情報サイトで検索可能です。
A: MITREの公式CVEデータベースやJVNなどの脆弱性情報サイトで検索可能です。
関連キーワード: CVE識別子, 脆弱性管理, JVN, セキュリティ情報, 脆弱性対策