情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ 問1: CVSS v3 の評価基準には，基本評価基準，現状評価基準，環境評価基準の三つがある。基本評価基準の説明はどれか。

問題本文

CVSS v3 の評価基準には，基本評価基準，現状評価基準，環境評価基準の三つがある。基本評価基準の説明はどれか。

選択肢

• ア.機密性への影響，どこから攻撃が可能かといった攻撃元区分，攻撃する際に必要な特権レベルなど，脆弱性そのものの特性を評価する。
• イ.攻撃される可能性，利用可能な対策のレベル，脆弱性情報の信頼性など，評価時点における脆弱性の特性を評価する。
• ウ.脆弱性を悪用した攻撃シナリオについて，機会，正当化，動機の三つの観点から，脆弱性が悪用される基本的なリスクを評価する。
• エ.利用者のシステムやネットワークにおける情報セキュリティ対策など，攻撃の難易度や攻撃による影響度を再評価し，脆弱性の最終的な深刻度を評価する。

正解

ア. 機密性への影響，どこから攻撃が可能かといった攻撃元区分，攻撃する際に必要な特権レベルなど，脆弱性そのものの特性を評価する。

解説

CVSS v3の基本評価基準(Base Metrics)は、攻撃元区分・攻撃の複雑さ・必要な特権・機密性/完全性/可用性への影響など、脆弱性そのものが本来もつ特性を表す指標で、時間や環境で変化しない。アがこの内容を正しく述べている。実務ではまず基本値で深刻度の目安を掴み、その後に現状・環境評価で自組織向けに補正してパッチ適用の優先順位を決める。

選択肢ごとの解説

• ア.攻撃元区分・必要特権・機密性への影響など脆弱性固有の特性を評価する基本評価基準の説明で正しい。
• イ.攻撃される可能性や対策レベルなど評価時点で変わる特性を扱うのは現状評価基準で、基本評価ではない。
• ウ.機会・正当化・動機の三観点は不正のトライアングルの考え方であり、CVSSの基本評価基準とは無関係。
• エ.利用環境を踏まえ最終的な深刻度を再評価するのは環境評価基準の説明で、基本評価ではない。