情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問8: JVN などの脆弱性対策情報ポータルサイトで採用されている CVE（Common Vulnerabilities and Exposures）識別子の説明はどれ

問題本文

JVN などの脆弱性対策情報ポータルサイトで採用されている CVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

選択肢

• ア.コンピュータで必要なセキュリティ設定項目を識別するための識別子
• イ.脆弱性が悪用されて改ざんされた Web サイトのスクリーンショットを識別するための識別子
• ウ.製品に含まれる脆弱性を識別するための識別子
• エ.セキュリティ製品の種別を識別するための識別子

正解

ウ. 製品に含まれる脆弱性を識別するための識別子

解説

CVE(Common Vulnerabilities and Exposures)は、製品に含まれる個々の脆弱性に一意の識別番号(CVE-西暦-連番)を付ける国際的な共通名称。同じ脆弱性を組織間で共通の番号で参照でき、対策情報の連携が容易になる。製品の脆弱性を識別する識別子と述べたウが正解。実務ではJVNやベンダ情報の突き合わせ、影響範囲の特定や対応優先度づけに不可欠な基盤となる。

選択肢ごとの解説

• ア.セキュリティ設定項目を識別するのはCCEで、製品の脆弱性を識別するCVEとは別の体系で誤り。
• イ.改ざんサイトのスクリーンショットを識別する体系は存在せず、脆弱性識別のCVEとは無関係で誤り。
• ウ.製品に含まれる脆弱性を一意に識別する共通名称という記述がCVEの定義そのもので、これが正解。
• エ.製品種別を識別するのは目的が異なり、個別の脆弱性に番号を付けるCVEの説明ではなく誤り。