- トップページ
- 情報セキュリティスペシャリスト
- 平成30年度春季問題一覧
- 平成30年度春季問題1-解答・解説-分析
平成30年度春季問題
問題1
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
| ア | 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。 |
| イ | 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。 |
| ウ | 脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。 |
| エ | 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。 |
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
| ア | 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。 |
| イ | 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。 |
| ウ | 脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。 |
| エ | 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。 |
解答:ア
<解説>
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム) とは、情報システムの脆弱性を識別,評価,対策することは,情報セキュリティに関わる要員にとって極めて重要な業務である。しかし,各ソフトウェアベンダが配信する脆弱性情報は,その製品に限定されるし,各セキュリティベンダが配信する脆弱性情報は,同じ脆弱性でもベンダごとに評価や対策が異なるといった問題点があった。
そこで,ベンダに依存せず,オープンで包括的,汎用的な同一基準下の評価方法として作られたのがCVSSである。バージョンアップを重ね,今ではCVSSv3が広く使われている。
●CVSSの3つの基準
- 基本評価基準
- 脆弱性の特性を評価するもの。機密性,完全性,可用性のCIAに対する影響を評価して,cvss基本値と呼ばれる結果を出力する。脆弱性固有の深刻度がわかる基準で,固定値である。
- 現状評価基準
- 脆弱性の現在の深刻度を評価するもの。攻撃コードの有無や対策の有無などを基準に評価して,CVSS現状値を出力する。脆弱性の現状を表す基準で,対応が進むことなどにより変化する値である。
- 環境評価基準
- 最終的な脆弱性の深刻度を評価するもの。利用者の利用環境などが加味されます。対象製品の使用状況や,二次被害の大きさなどを評価して,CVSS環境値を出力する。利用者が脆弱性へどう対応するかを表す基準で,利用者ごとに変化する。
| ア | 〇 | 基本評価基準の説明である。基本評価基準は、脆弱性の特性を評価する。 |
| イ | × | 現状評価基準の説明である。現状評価基準は、脆弱性の現在の深刻度を評価する。 |
| ウ | × | 機会,正当化,動機の三つの観点は、不正のトライアングルの説明である。 |
| エ | × | 環境評価基準の説明である。環境評価基準は、最終的な脆弱性の深刻度を評価する。 |
お問い合わせ
