基本情報技術者試験 ap-2021r03a-a 午前 問41: 基本評価基準，現状評価基準，環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。

問題本文

基本評価基準，現状評価基準，環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。

選択肢

• ア.CVSS
• イ.ISMS
• ウ.PCI DSS
• エ.PMS

正解

ア. CVSS

解説

脆弱性そのものの深刻度を共通の尺度で点数化する仕組みを問う問題です。CVSS(Common Vulnerability Scoring System)は、脆弱性固有の特性を測る“基本評価基準”、攻撃コードの有無など時間で変化する状況を測る“現状評価基準”、利用環境による影響度を測る“環境評価基準”の三つの観点でスコアを算出する世界標準の評価手法であり、設問の三基準と一致するため正解はアです。

選択肢ごとの解説

• ア.CVSSは脆弱性の深刻度を基本・現状・環境の三評価基準で0.0〜10.0のスコアにする共通指標であり、設問の定義そのものなので正しい。
• イ.ISMS(情報セキュリティマネジメントシステム)は組織が情報資産を継続的に守るための管理の仕組み(PDCA)であり、個々の脆弱性に点数を付ける評価基準ではないため誤り。
• ウ.PCI DSSはクレジットカード会員データを安全に扱うために定められた業界のセキュリティ基準であり、脆弱性の深刻度評価の指標ではないため誤り。
• エ.PMS(個人情報保護マネジメントシステム)は個人情報を適切に管理するための仕組み(プライバシーマーク制度の基礎)であり、脆弱性の深刻度評価とは無関係なので誤り。