ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問09
JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。
ア:IT 製品の脆弱性を評価する手法
イ:製品を識別するためのプラットフォーム名の一覧
ウ:セキュリティに関連する設定項目を識別するための識別子
エ:ソフトウェア及びハードウェアの脆弱性の種類の一覧(正解)
解説
JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか【午前2 解説】
要点まとめ
- 結論:CWEはソフトウェアやハードウェアの脆弱性の種類を体系的に分類した一覧である。
- 根拠:JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトは、脆弱性の種類を共通の基準で整理するためにCWEを採用している。
- 差がつくポイント:CWEは脆弱性の「種類」を示すものであり、製品の評価手法や識別子とは異なる点を正確に理解することが重要。
正解の理由
CWE(Common Weakness Enumeration)は、ソフトウェアやハードウェアに存在する脆弱性の種類を体系的に分類・一覧化したもので、脆弱性対策の基盤となる共通言語です。JVNなどのポータルサイトは、報告された脆弱性をCWEに基づいて分類し、対策や情報共有を円滑にしています。したがって、「ソフトウェア及びハードウェアの脆弱性の種類の一覧」であるエが正解です。
よくある誤解
CWEは脆弱性の評価手法や製品識別のためのプラットフォーム名ではなく、脆弱性の「種類」を示す分類体系である点を混同しやすいです。
解法ステップ
- 問題文の「CWE」が何を指すかを確認する。
- CWEの正式名称「Common Weakness Enumeration」を思い出す。
- CWEが脆弱性の「種類」を体系的に分類した一覧であることを理解する。
- 選択肢の内容とCWEの定義を照らし合わせる。
- 「脆弱性の種類の一覧」であるエを選択する。
選択肢別の誤答解説
- ア: IT製品の脆弱性を評価する手法ではなく、CWEは脆弱性の種類の一覧であるため誤り。
- イ: 製品を識別するプラットフォーム名の一覧ではなく、CWEは脆弱性の分類体系であるため誤り。
- ウ: セキュリティに関連する設定項目の識別子ではなく、脆弱性の種類を示す一覧なので誤り。
- エ: ソフトウェア及びハードウェアの脆弱性の種類の一覧であり、CWEの正しい定義に合致するため正解。
補足コラム
CWEはMITRE社が管理しており、脆弱性の根本原因となる弱点を体系的に整理しています。これにより、開発者やセキュリティ専門家は共通の言語で脆弱性を理解し、対策を講じやすくなります。類似の概念にCVE(Common Vulnerabilities and Exposures)があり、こちらは個別の脆弱性を識別するためのIDです。
FAQ
Q: CWEとCVEの違いは何ですか?
A: CWEは脆弱性の「種類」を体系的に分類した一覧で、CVEは個別の脆弱性に割り当てられる識別番号です。
A: CWEは脆弱性の「種類」を体系的に分類した一覧で、CVEは個別の脆弱性に割り当てられる識別番号です。
Q: JVNでCWEが使われる理由は?
A: 脆弱性の種類を共通の基準で整理し、情報共有や対策の効率化を図るためです。
A: 脆弱性の種類を共通の基準で整理し、情報共有や対策の効率化を図るためです。
関連キーワード: CWE, 脆弱性分類, JVN, セキュリティ対策, MITRE