情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅰ 問14: JVNなどの脆弱性情報サイトで採用されているCVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

問題本文

JVNなどの脆弱性情報サイトで採用されているCVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

選択肢

• ア.コンピュータで必要なセキュリティ設定項目を識別するための識別子
• イ.脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
• ウ.製品に含まれる脆弱性を識別するための識別子
• エ.セキュリティ製品の種別を識別するための識別子

正解

ウ. 製品に含まれる脆弱性を識別するための識別子

解説

CVEは個々の脆弱性に世界共通の一意な識別子を付与する仕組みで、CVE-西暦-連番の形式をとる。これにより異なるベンダーや情報源が同じ脆弱性を確実に参照できる。製品に含まれる脆弱性を識別するための識別子であり、ウが正しい。設定項目を表すCCE、製品名を表すCPE、深刻度を表すCVSSと混同しやすい。脆弱性管理やパッチ適用の追跡で基準となる重要な識別体系である。

選択肢ごとの解説

• ア.必要なセキュリティ設定項目を識別するのはCCEで、脆弱性そのものを指すCVEではない。
• イ.改ざんサイトのスクリーンショットを識別する仕組みは存在せず、CVEの説明として誤り。
• ウ.製品に含まれる個々の脆弱性へ一意な番号を付与するCVEの定義で正しい。
• エ.製品の種別を識別するものではなく、CVEは脆弱性を対象とする識別子である。