CVSS v3について、基本評価基準、現状評価基準、環境評価基準のうち、現状評価基準の特徴はどれか。
| ア | 攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化する。 |
| イ | |
| ウ | 製品利用者が脆弱性への対応を決めるための評価に用いる基準であり、評価結果は時間の経過で変化しない。 |
| エ | 評価結果は利用環境によらず同じで、かつ、時間の経過でも変化しない。 |
答え ア
【解説】
CVSSの基本評価基準、現状評価基準、環境評価基準は以下のようになります。
- 基本評価基準
脆弱性そのものの特性を評価する基準で、情報システムに求められる3つのセキュリティ特性、「(機密性Confidentiality Impact)」、「完全性(Integrity Impact)」、「可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価します。 - 現状評価基準
脆弱性の現在の深刻度を評価する基準で、攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価します。 - 環境評価基準
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準で、攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価します。
| ア | 攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化するのは、現状評価基準です。(〇) |
| イ | 脆弱性及び想定される脅威に応じ、製品利用者ごとに評価結果は異なるは、環境評価基準です。(×) |
| ウ | 製品利用者が脆弱性への対応を決めるための評価に用いる基準であり、評価結果は時間の経過で変化しないのは、基本評価基準です。(×) |
| エ | 評価結果は利用環境によらず同じで、かつ、時間の経過でも変化しないのは、基本評価基準です。(×) |
【キーワード】
・CVSS
- CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)
情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指した、アメリカ国家インフラストラクチャ諮問委員会(National Infrastructure Advisory Council、NIAC)のプロジェクトです。
もっと、「CVSS」について調べてみよう。
戻る
一覧へ
次へ