情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ 問7: 基本評価基準,現状評価基準,環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
←情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ
基本評価基準,現状評価基準,環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
問題本文
基本評価基準,現状評価基準,環境評価基準の三つの基準で IT 製品のセキュリティ脆弱性の深刻さを評価するものはどれか。
選択肢
- ア.CVSS
- イ.ISMS
- ウ.PCI DSS
- エ.PMS
解説
CVSS(共通脆弱性評価システム)は、基本評価基準・現状評価基準・環境評価基準の三つで脆弱性の深刻度を0〜10で数値化する国際的な指標。よってアが正解。ベンダ非依存で深刻度を比較できる点が特徴。実務では脆弱性対応の優先順位付けにスコアが活用される。
選択肢ごとの解説
- ア.三つの基準で脆弱性の深刻度を点数化する仕組みでCVSSの説明として正しい。
- イ.ISMSは情報セキュリティ管理の枠組みであり、脆弱性の深刻度評価指標ではないので誤り。
- ウ.PCI DSSはカード情報保護の基準であり、脆弱性スコアリングではないので誤り。
- エ.PMSは個人情報保護マネジメントシステムであり、本問の指標ではないので誤り。
情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ の過去問一覧へ戻る・問7