応用情報技術者試験 応用情報技術者試験 令和5年度春期 午前 問40: ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか。

問題本文

ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか。

選択肢

• ア.CCE (Common Configuration Enumeration)
• イ.CVE (Common Vulnerabilities and Exposures)
• ウ.CVSS (Common Vulnerability Scoring System)
• エ.CWE (Common Weakness Enumeration)

正解

イ. CVE (Common Vulnerabilities and Exposures)

解説

個別の既知の脆弱性そのものに一意の識別番号(CVE-西暦-連番)を割り当てて世界共通で参照できるようにする仕組みが CVE である。脆弱性情報の共有や JVN 等での参照はこの CVE 番号を介して行われるため、“ソフトウェアの既知の脆弱性を一意に識別する情報”は“イ”が正解である。他の三つはいずれも識別“番号”の体系ではなく、設定・評価・分類のための別の枠組みである。

選択肢ごとの解説

• ア.CCE はセキュリティに関わるシステムの“設定項目”を識別するための共通体系であり、脆弱性そのものの識別子ではない。
• イ.正しい。CVE は個々の既知の脆弱性に一意の識別番号を付与する仕組みで、脆弱性を世界共通で一意に識別できる。
• ウ.CVSS は脆弱性の深刻度を数値スコアで評価するための共通基準であり、脆弱性を一意に識別する番号ではない。
• エ.CWE はソフトウェアの脆弱性の“種類(弱点の類型)”を分類・列挙する共通体系であり、個別の脆弱性を一意に識別するものではない。