情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問2: JVN などの脆弱性対策情報ポータルサイトで採用されている CVE(Common Vulnerabilities and Exposures)識別子の説明はどれ
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ
JVN などの脆弱性対策情報ポータルサイトで採用されている CVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
問題本文
JVN などの脆弱性対策情報ポータルサイトで採用されている CVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
選択肢
- ア.コンピュータで必要なセキュリティ設定項目を識別するための識別子
- イ.脆弱性が悪用されて改ざんされた Web サイトのスクリーンショットを識別するための識別子
- ウ.製品に含まれる脆弱性を識別するための識別子
- エ.セキュリティ製品を識別するための識別子
正解
ウ. 製品に含まれる脆弱性を識別するための識別子
解説
CVEは個々のソフトウェア製品に存在する脆弱性そのものに一意な識別番号(CVE-年-連番)を付け、世界中の情報を相互参照できるようにする共通辞書。JVNやNVDなどのポータルが採用し、同じ脆弱性を異なるベンダー間でも一意に指せる。ウが製品の脆弱性を識別する識別子と正しく述べておりウが正解。実務では脆弱性管理やパッチ適用判断でCVE番号を軸に情報を突き合わせる。
選択肢ごとの解説
- ア.セキュリティ設定項目を識別するのはCCE(構成情報)であり、脆弱性そのものを指すCVEとは異なるので誤り。
- イ.改ざんされたWebサイトのスクリーンショットを識別する規格は存在せず、CVEの定義とも無関係で誤り。
- ウ.CVEは製品ごとの個別脆弱性に一意な番号を付与する共通識別子で、これが定義どおりであり正解。
- エ.製品そのものを識別するのはCPE(プラットフォーム識別)で、脆弱性を指すCVEとは別物なので誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ の過去問一覧へ戻る・問2