情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和7年度 科目A 公開問題 問6: CVSS v3について,基本評価基準,現状評価基準,環境評価基準のうち,現状評価基準の特徴はどれか。
←情報セキュリティマネジメント試験 令和7年度 科目A 公開問題
CVSS v3について,基本評価基準,現状評価基準,環境評価基準のうち,現状評価基準の特徴はどれか。
問題本文
CVSS v3について,基本評価基準,現状評価基準,環境評価基準のうち,現状評価基準の特徴はどれか。
選択肢
- ア.攻撃コードの出現の有無,利用可能な対策のレベルなどに応じ,評価結果は時間の経過で変化する。
- イ.脆弱性及び想定される脅威に応じ,製品利用者ごとに評価結果は異なる。
- ウ.製品利用者が脆弱性への対応を決めるための評価に用いる基準であり,評価結果は時間の経過で変化しない。
- エ.評価結果は利用環境によらず同じで,かつ,時間の経過でも変化しない。
正解
ア. 攻撃コードの出現の有無,利用可能な対策のレベルなどに応じ,評価結果は時間の経過で変化する。
解説
CVSS v3の3基準は,基本評価基準(脆弱性固有で時間・環境によらず不変)・現状評価基準(攻撃コードの出現状況や対策の有無など時間とともに変化する要素を評価)・環境評価基準(利用者の環境ごとに異なる影響を評価)に分かれる。アは攻撃コードの出現や対策レベルにより時間とともに変化するという現状評価基準の特徴を述べているため正解。
選択肢ごとの解説
- ア.攻撃コードの出現有無や利用可能な対策レベルに応じて時間経過で値が変化するのは現状評価基準の特徴であり正しい。
- イ.想定脅威に応じて製品利用者ごとに評価が異なるのは環境評価基準の特徴であり,現状評価基準ではないため誤り。
- ウ.時間経過で変化せず対応判断の基礎となる脆弱性固有の評価は基本評価基準の特徴であり,現状評価基準ではないため誤り。
- エ.利用環境にも時間にもよらず一定なのは基本評価基準の特徴であり,現状評価基準ではないため誤り。
情報セキュリティマネジメント試験 令和7年度 科目A 公開問題 の過去問一覧へ戻る・問6