平成30年 春期 情報処理安全確保支援士 午前II 問1

CVSSv3の評価基準には、基本評価基準、現状評価基準、環境評価基準の三つがある。
基本評価基準の説明はどれか。

 ア  機密性への影響、どこから攻撃が可能かといった攻撃元区分、攻撃する際に必要な特権レベルなど、(ぜい)弱性そのものの特性を評価する。
 イ  攻撃される可能性、利用可能な対策レベル、脆弱性情報の信頼性など、評価時点における脆弱性の特性を評価する。
 ウ  脆弱性を悪用した攻撃シナリオについて、機会、正当化、動機の三つの観点から、脆弱性が悪用される基本的なリスクを評価する。
 エ  利用者のシステムやネットワークにおける情報セキュリティ対策など、攻撃の難易度や攻撃による影響度を再評価し、脆弱性の最終的な深刻度を評価する。


答え ア


解説

 ア  機密性への影響、どこから攻撃が可能かといった攻撃元区分、攻撃する際に必要な特権レベルなど、脆弱性そのものの特性を評価するのは、基本評価基準です。
 イ  攻撃される可能性、利用可能な対策レベル、脆弱性情報の信頼性など、評価時点における脆弱性の特性を評価するのは、現状評価基準です。
 ウ  脆弱性を悪用した攻撃シナリオについて、機会、正当化、動機の三つの観点から、脆弱性が悪用される基本的なリスクを評価するのは、現状評価基準です。
 エ  利用者のシステムやネットワークにおける情報セキュリティ対策など、攻撃の難易度や攻撃による影響度を再評価し、脆弱性の最終的な深刻度を評価するのは、環境評価基準です。


キーワード
・CVSS

キーワードの解説
  • CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)
    情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指した、アメリカ国家インフラストラクチャ諮問委員会(National Infrastructure Advisory Council、NIAC)のプロジェクトです。

もっと、「CVSS」について調べてみよう。

戻る 一覧へ 次へ