平成30年秋期情報セキュリティマネジメント午前問28

共通脆(ぜい)弱性評価システム(CVSS)の特徴として、適切なものはどれか。

　ア

　CVSSv2とCVSSv3は、脆弱性の深刻度の算出方法が同じであり、どちらのバージョンで算出しても同じ値になる。

　イ

　情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない評価方法を提供する。

　ウ

　脆弱性の深刻度を0から100の数値で表す。

　エ

　脆弱性を評価する基準は、現状評価基準と環境評価基準の二つである。

答え　イ

【解説】

ア	CVSSv2とCVSSv3では、評価対象となる基本評価基準が変更になったので、同じ対象を評価すると脆弱性の深刻度の算出結果が違います。
イ	CVSSは情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない評価方法を提供します。
ウ	CVSSは脆弱性の深刻度を0(低)から10.0(高)の数値で表します。
エ	脆弱性を評価する基準は、基本評価基準、現状評価基準と環境評価基準の三つがありまする。

【キーワード】
・CVSS

キーワードの解説

CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)
情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指した、アメリカ国家インフラストラクチャ諮問委員会(National Infrastructure Advisory Council、NIAC)のプロジェクトです。
CVSSは、次の3つの基準で脆弱性を評価します。

基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。
現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。
環境評価基準(Environmental Metrics)
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。

平成30年 秋期 情報セキュリティマネジメント 午前 問28

平成30年秋期情報セキュリティマネジメント午前問28