情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問9: JVN などの脆弱性対策ポータルサイトで採用されている CWE はどれか。

問題本文

JVN などの脆弱性対策ポータルサイトで採用されている CWE はどれか。

選択肢

• ア.IT 製品の脆弱性を評価する手法
• イ.製品を識別するためのプラットフォーム名の一覧
• ウ.セキュリティに関連する設定項目を識別するための識別子
• エ.ソフトウェア及びハードウェアの脆弱性の種類の一覧

正解

エ. ソフトウェア及びハードウェアの脆弱性の種類の一覧

解説

CWE(Common Weakness Enumeration)は、バッファオーバフローやSQLインジェクションなど、ソフトウェアやハードウェアに共通するセキュリティ上の弱点(脆弱性)の種類を体系的に分類・識別する一覧。エが正しい。実務では発見した脆弱性をCWE番号で分類し、根本原因の傾向把握や開発時の作り込み防止、安全なコーディングの教育に活用する。

選択肢ごとの解説

• ア.脆弱性の深刻度を評価する手法はCVSSの説明で、CWEではない。
• イ.製品識別のためのプラットフォーム名一覧はCPEの説明で、CWEではない。
• ウ.セキュリティ設定項目を識別する識別子はCCEの説明で、CWEではない。
• エ.ソフトウェア・ハードウェアの脆弱性の種類を分類した一覧という記述で正しい。