戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

情報処理安全確保支援士 2023年 秋期 午前212


問題文

脆弱性管理、測定、評価を自動化するためにNISTが策定した基準はどれか。

選択肢

FIPS(Federal Information Processing Standards)
SCAP(Security Content Automation Protocol)(正解)
SIEM(Security Information and Event Management)
SOAR(Security Orchestration, Automation and Response)

脆弱性管理、測定、評価を自動化するためにNISTが策定した基準はどれか【午前2 解説】

正解の理由

NISTが策定したSCAP(Security Content Automation Protocol)は、脆弱性情報の収集、測定、評価を自動化するための標準プロトコル群です。これにより、セキュリティ製品や管理ツール間で情報の互換性が確保され、効率的な脆弱性管理が可能になります。SCAPは複数の標準(CVE、CPE、CVSSなど)を組み合わせており、脆弱性の特定から評価までを自動化できる点が特徴です。

解法ステップ

  1. 問題文のキーワード「脆弱性管理」「測定」「評価」「自動化」「NIST」を確認する。
  2. 選択肢の意味を整理し、NISTが策定した基準かどうかを判断する。
  3. SCAPが脆弱性管理の自動化に特化した標準であることを思い出す。
  4. 他の選択肢は目的や機能が異なるため除外する。
  5. 正解はイのSCAPと確定する。

選択肢別の誤答解説

  • ア: FIPS
    暗号技術の標準規格であり、脆弱性管理の自動化とは無関係です。
  • イ: SCAP
    脆弱性管理や評価の自動化に特化したNIST策定の標準で正解です。
  • ウ: SIEM
    セキュリティログの収集・分析を行うシステムで、脆弱性管理の自動化とは異なります。
  • エ: SOAR
    インシデント対応の自動化を支援する技術で、脆弱性評価の自動化とは目的が違います。

よくある誤解

FIPSは暗号化標準であり、脆弱性管理の自動化とは直接関係ありません。SIEMやSOARはセキュリティ運用の別分野で使われる技術です。

補足コラム

SCAPはCVE(共通脆弱性識別子)、CPE(共通プラットフォーム識別子)、CVSS(共通脆弱性評価システム)など複数の標準を組み合わせており、これらの情報を統合して脆弱性の検出や評価を自動化します。これにより、セキュリティ管理者は効率的にリスクを把握し、対策を講じることが可能です。

FAQ

Q: SCAPはどのような標準を統合していますか?
A: CVE、CPE、CVSSなどの脆弱性識別や評価に関する標準を統合しています。
Q: SIEMとSCAPの違いは何ですか?
A: SIEMはログの収集・分析に特化し、SCAPは脆弱性情報の自動収集と評価に特化しています。

関連キーワード: 脆弱性管理、NIST基準、SCAP, セキュリティ自動化、CVE, CVSS
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

情報処理安全確保支援士
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について