情報処理安全確保支援士 2025年 秋期 午前2 問12

MITREの役割に該当するものはどれか。【午前2 解説】

要点まとめ

• 結論：アが正解。MITREはCVE Programの運営に関与し、攻撃プロセスを整理したATT&CKなどのナレッジベースを公開する組織です。
• 根拠：MITREは米国の非営利組織でCVEの事務局的役割やATT&CKの開発を行い、脆弱性ID付与と攻撃手法の体系化を提供します。
• 差がつくポイント：NISTやENISA、国内のCSIRTと役割が異なり、「CVE管理＋ATT&CKのナレッジ公開」がMITRE固有の代表的業務です。

正解の理由

よくある誤解（2〜3 行）

• 「NISTがCVEを運営している」と誤認されがちですが、CVEはMITREが主要な運営主体で、NISTはNVDなど別のデータベースを運用しています。
• 「国内のインシデント一次対応を行う」と理解すると誤りで、MITREは調査・研究と知見提供が主で現場対応は行いません。

解法ステップ

1. 問題文のキーワード（CVE、ナレッジベース、サイバー攻撃のプロセス）を把握する。
2. 各選択肢が指す組織や業務を頭の中で対応付ける（例：NIST＝フレームワーク、ENISA＝EU支援、JPCERT＝国内インシデント対応）。
3. MITREの代表的プロジェクト（CVE Program、ATT&CK）を確認し、選択肢と照合する。
4. 一致する選択肢を選び、残りを機能や対象（国際／国内、政策／運用）で除外する。
5. 解答後に短く「なぜ他が違うか」を確認して確信を持つ。

選択肢別の誤答解説

• ア: 正しい。MITREはCVE Programに関与し、ATT&CKのような攻撃プロセスのナレッジベースを公開します。
• イ: 誤り。サイバーセキュリティフレームワークや技術仕様を発行する主体としては主にNIST（米国）や国際標準化団体が該当し、MITREはガイドライン提供よりも研究・データベース整備が中心です。
• ウ: 誤り。EU加盟国のサイバーセキュリティ支援はENISA（欧州ネットワーク・情報セキュリティ機関）等の任務であり、MITREは米国系の組織でEU支援機関ではありません。
• エ: 誤り。日本国内のインシデント受付・対応支援はJPCERT/CCや各国のCSIRTが担う業務で、MITREは国内一次対応を行う団体ではありません。

補足コラム（関連知識など）

• CVE（Common Vulnerabilities and Exposures）は脆弱性に一意の識別子を付ける仕組みで、CVE IDは脆弱性情報の共通参照に不可欠です。MITREはCVEの運営主体の一つとして長年関わっています。
• MITRE ATT&CKは攻撃者の戦術（tactics）と技術（techniques）をマトリクス形式で示し、検知・防御・演習（赤チーム／青チーム）に広く利用されます。
• CVEとNVDの関係：NVD（National Vulnerability Database）はNISTが運用し、CVEを基に脆弱性の各種スコアやメタ情報を提供します。MITRE→CVE、NIST→NVDという役割分担を押さえておきましょう。

FAQ