共通脆弱性評価システム(CVSS)の特徴として，適切なものはどれか。

ア	CVSS v2 と CVSS v3.0 は,脆弱性の深刻度の算出方法が同じであり,どちらのパージョンで算出しても同じ値になる。
イ	情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり，特定ベンダに依存しない評価方法を提供する。
ウ	脆弱性の深刻度を0から100の数値で表す。
エ	脆弱性を評価する基準は，現状評価基準と環境評価基準の二つである。

共通脆弱性評価システム(CVSS)の特徴として，適切なものはどれか。

ア	CVSS v2 と CVSS v3.0 は,脆弱性の深刻度の算出方法が同じであり,どちらのパージョンで算出しても同じ値になる。
イ	情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり，特定ベンダに依存しない評価方法を提供する。
ウ	脆弱性の深刻度を0から100の数値で表す。
エ	脆弱性を評価する基準は，現状評価基準と環境評価基準の二つである。

解答：イ

＜解説＞

情報セキュリティ分野の共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）に関する問題。CVSS とは，IT 製品や情報システムの脆弱性に対するオープンで汎用的な評価手法で，次の三つの基準で情報システムの脆弱性の深刻度を評価するもの。

基本評価基準（基本値）：脆弱性そのものの特性を評価。固定。

現状評価基準（現状値）：脆弱性の“現在の”深刻度を評価。時間経過によって変動。

環境評価基準（環境値）：環境＝利用環境も含めて最終的な脆弱性の深刻度を評価。

ア	×	CVSS v3.0(バージョン 3.0)では項目や分類が追加されているので,同じ脆弱性であってもCVSS v2(バージョン2)と同じ値にはならない場合がある。
イ	〇	CVSS を用いることで,情報セキュリティ管理者とベンダなど,情報セキュリティ対策に携わる人たちの間で,脆弱性に関して共通の言葉で議論ができるようになる。
ウ	×	脆弱性の深刻度を0から10.0の数値で表す。
エ	×	脆弱性を評価する基準は,基本評価基準,現状評価基準,環境評価基準の三つである。