- トップページ
- 高度共通 午前1
- 令和6年度秋季問題一覧
- 令和6年度秋季問題14-解答・解説-分析
令和6年度秋季問題
問題14
JVNなどの脆弱性情報サイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
| ア | コンピュータで必要なセキュリティ設定項目を識別するための識別子 |
| イ | 脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子 |
| ウ | 製品に含まれる脆弱性を識別するための識別子 |
| エ | セキュリティ製品の種別を識別するための識別子 |
JVNなどの脆弱性情報サイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
| ア | コンピュータで必要なセキュリティ設定項目を識別するための識別子 |
| イ | 脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子 |
| ウ | 製品に含まれる脆弱性を識別するための識別子 |
| エ | セキュリティ製品の種別を識別するための識別子 |
解答:ウ
<解説>
| ア | × | CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)の説明である。 CCEは、コンピュータのセキュリティを確保するために推奨される設定項目に一意の識別子を付与するものであり、脆弱性自体を識別するCVEとは目的が異なる。 |
| イ | × | CVEは脆弱性そのものを識別するものであり、脆弱性が悪用された結果生じた事象(Webサイトの改ざんなど)を管理するための識別子ではない。このような目的で標準化された識別子は一般的に存在しない。 |
| ウ | ○ | CVE(Common Vulnerabilities and Exposures)は、個別に発見されたソフトウェアやハードウェアの脆弱性に対して、一意の識別番号を付与するための世界共通の識別子である。 「CVE-西暦-連番」という形式で採番され、これにより、異なる組織やセキュリティ対策製品、脆弱性情報データベース(例えばJVNや米国のNVD)間で、特定の脆弱性に関する情報を正確に共有・参照することが可能となる。 |
| エ | × | CPE(Common Platform Enumeration)の説明である。 CPEは、ソフトウェア、ハードウェア、オペレーティングシステムなどの製品名やバージョンを一意に表現するための識別子体系であり、脆弱性そのものではなく「製品の種類」を識別する。 |
お問い合わせ
