応用情報技術者試験 応用情報技術者試験 令和6年度秋期 午前 問41: JVN などの脆弱性情報サイトで採用されている CVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

問題本文

JVN などの脆弱性情報サイトで採用されている CVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

選択肢

• ア.コンピュータで必要なセキュリティ設定項目を識別するための識別子
• イ.脆弱性が悪用されて改ざんされた Web サイトのスクリーンショットを識別するための識別子
• ウ.製品に含まれる脆弱性を識別するための識別子
• エ.セキュリティ製品の種別を識別するための識別子

正解

ウ. 製品に含まれる脆弱性を識別するための識別子

解説

CVE（Common Vulnerabilities and Exposures）は、個別のソフトウェア製品に存在する脆弱性（セキュリティ上の欠陥）の一つひとつに、世界共通の番号を割り当てて識別するための仕組みである。“CVE-西暦-連番” という形式の番号を付けることで、異なる組織・製品間でも「どの脆弱性のことか」を一意に指し示せる。したがって“製品に含まれる脆弱性を識別するための識別子”と説明したウが正解となる。

選択肢ごとの解説

• ア.セキュリティ設定項目を識別する識別子は CCE（Common Configuration Enumeration）の説明であり、CVE とは別の規格なので誤り。
• イ.改ざんされた Web サイトのスクリーンショットを識別する仕組みは存在せず、CVE の説明として誤り。脆弱性そのものを識別するのが CVE である。
• ウ.正しい。CVE は個々の脆弱性に一意の識別番号を割り当てる仕組みで、JVN などの脆弱性情報サイトで広く採用されている。
• エ.セキュリティ製品の種別を識別するのではなく、製品に含まれる脆弱性を識別するのが CVE であるため誤り。