ホーム > 情報処理安全確保支援士試験 > 2023年 秋期
情報処理安全確保支援士試験 2023年 秋期 午前2 問12
脆弱性管理、測定、評価を自動化するためにNISTが策定した基準はどれか。
ア:FIPS(Federal Information Processing Standards)
イ:SCAP(Security Content Automation Protocol)(正解)
ウ:SIEM(Security Information and Event Management)
エ:SOAR(Security Orchestration, Automation and Response)
解説
脆弱性管理、測定、評価を自動化するためにNISTが策定した基準はどれか【午前2 解説】
要点まとめ
- 結論:脆弱性管理や評価の自動化に関するNISTの基準は「SCAP」である。
- 根拠:SCAPは複数の標準仕様を統合し、脆弱性情報の収集・評価・報告を自動化するために設計されている。
- 差がつくポイント:FIPSは暗号標準、SIEMはログ管理、SOARはインシデント対応自動化であり、脆弱性管理の自動化とは目的が異なる点を理解すること。
正解の理由
NISTが策定したSCAP(Security Content Automation Protocol)は、脆弱性情報の収集、測定、評価を自動化するための標準プロトコル群です。これにより、セキュリティ製品や管理ツール間で情報の互換性が確保され、効率的な脆弱性管理が可能になります。SCAPは複数の標準(CVE、CPE、CVSSなど)を組み合わせており、脆弱性の特定から評価までを自動化できる点が特徴です。
よくある誤解
FIPSは暗号化標準であり、脆弱性管理の自動化とは直接関係ありません。SIEMやSOARはセキュリティ運用の別分野で使われる技術です。
解法ステップ
- 問題文のキーワード「脆弱性管理」「測定」「評価」「自動化」「NIST」を確認する。
- 選択肢の意味を整理し、NISTが策定した基準かどうかを判断する。
- SCAPが脆弱性管理の自動化に特化した標準であることを思い出す。
- 他の選択肢は目的や機能が異なるため除外する。
- 正解はイのSCAPと確定する。
選択肢別の誤答解説
- ア: FIPS
暗号技術の標準規格であり、脆弱性管理の自動化とは無関係です。 - イ: SCAP
脆弱性管理や評価の自動化に特化したNIST策定の標準で正解です。 - ウ: SIEM
セキュリティログの収集・分析を行うシステムで、脆弱性管理の自動化とは異なります。 - エ: SOAR
インシデント対応の自動化を支援する技術で、脆弱性評価の自動化とは目的が違います。
補足コラム
SCAPはCVE(共通脆弱性識別子)、CPE(共通プラットフォーム識別子)、CVSS(共通脆弱性評価システム)など複数の標準を組み合わせており、これらの情報を統合して脆弱性の検出や評価を自動化します。これにより、セキュリティ管理者は効率的にリスクを把握し、対策を講じることが可能です。
FAQ
Q: SCAPはどのような標準を統合していますか?
A: CVE、CPE、CVSSなどの脆弱性識別や評価に関する標準を統合しています。
A: CVE、CPE、CVSSなどの脆弱性識別や評価に関する標準を統合しています。
Q: SIEMとSCAPの違いは何ですか?
A: SIEMはログの収集・分析に特化し、SCAPは脆弱性情報の自動収集と評価に特化しています。
A: SIEMはログの収集・分析に特化し、SCAPは脆弱性情報の自動収集と評価に特化しています。
関連キーワード: 脆弱性管理, NIST基準, SCAP, セキュリティ自動化, CVE, CVSS