情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問7: JVN（Japan Vulnerability Notes）などの脆弱性対策ポータルサイトで採用されているCVE（Common Vulnerabilities

問題本文

JVN（Japan Vulnerability Notes）などの脆弱性対策ポータルサイトで採用されているCVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

選択肢

• ア.コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
• イ.脆弱性が利用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子である。
• ウ.製品に含まれる脆弱性を識別するための識別子である。
• エ.セキュリティ製品を識別するための識別子である。

正解

ウ. 製品に含まれる脆弱性を識別するための識別子である。

解説

CVEは、製品に含まれる個々の脆弱性に一意の識別子(CVE-年-番号)を付与する国際的な共通枠組み。これによりベンダーや組織が同じ脆弱性を共通の名前で参照でき、情報共有や対応の効率が上がる。JVNなどのポータルでも採用される。実務では脆弱性管理やパッチ適用の優先度付けで、CVE番号を軸に深刻度(CVSS)と突き合わせて運用する。

選択肢ごとの解説

• ア.セキュリティ設定項目を識別するのはCCEであり、脆弱性を識別するCVEとは異なるため誤り。
• イ.改ざんサイトのスクリーンショットを識別する仕組みではなく、CVEの説明として誤り。
• ウ.製品に含まれる脆弱性を一意に識別するのがCVEの役割であり正しい。
• エ.セキュリティ製品を識別するのはCPE等であり、脆弱性識別子のCVEとは異なるため誤り。