情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問10: JVN などの脆弱性対策ポータルサイトで採用されている CVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
JVN などの脆弱性対策ポータルサイトで採用されている CVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
問題本文
JVN などの脆弱性対策ポータルサイトで採用されている CVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
選択肢
- ア.コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
- イ.脆弱性が悪用されて改ざんされた Web サイトのスクリーンショットを識別するための識別子である。
- ウ.製品に含まれる脆弱性を識別するための識別子である。
- エ.セキュリティ製品を識別するための識別子である。
正解
ウ. 製品に含まれる脆弱性を識別するための識別子である。
解説
CVEは個別の製品脆弱性に一意の識別子(CVE-年-番号)を付ける国際的な共通名称で、各種データベースやJVNが同じ脆弱性を一意に参照できるようにする。よって製品に含まれる脆弱性を識別するというウが正解。設定項目の識別はCCE、製品名の識別はCPEなど別の体系が担う。実務では脆弱性情報の突合や対応管理の共通キーとして使われる。
選択肢ごとの解説
- ア.セキュリティ設定項目を識別するのはCCEで、CVEではない。
- イ.改ざんサイトのスクリーンショットを識別する識別子という体系は存在せず、CVEの説明でもない。
- ウ.製品に含まれる個別の脆弱性を一意に識別する識別子がCVEで、これが正解。
- エ.セキュリティ製品自体を識別するのはCPE等で、CVEは脆弱性に付与する識別子である。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問10