情報セキュリティ

基本情報技術者試験脆弱性管理」の問題

情報セキュリティ情報セキュリティ難易度:normal
C社の脆弱性管理担当者は、診断ツールが報告した多数の脆弱性に対し、限られた人員で修正対応する順序を決めたい。対応の優先度を客観的に判断する指標として、最も適切なものはどれか。
脆弱性が報告された日時が新しいものほど高い優先度として扱い、その順に対応する。
脆弱性に割り当てられたCVE番号の数字が小さいものから順に対応する。
攻撃容易性や影響度を共通の物差しで点数化した値を比較し順序を決める。
診断ツールの画面で一覧の上から表示された順に機械的に対応する。
正解
攻撃容易性や影響度を共通の物差しで点数化した値を比較し順序を決める。

CVSS(共通脆弱性評価システム)は攻撃容易性や影響範囲などを共通の基準で数値化したスコアであり、脆弱性の深刻度を客観的・横断的に比較できる。限られた人員で対応順を決める場面では、スコアの高い深刻なものから着手するのが合理的である。

?選択肢ごとの解説

ア ×報告日時の新しさは深刻度と無関係であり、新しいが軽微な脆弱性を、古いが致命的な脆弱性より先に対応する不合理を招く。
イ ×CVE番号は脆弱性を一意に識別するための採番であり、番号の大小は深刻度を表さないため優先度の根拠にならない。
ウ ○CVSS(共通脆弱性評価システム)は攻撃容易性や影響範囲などを共通の基準で数値化したスコアであり、脆弱性の深刻度を客観的・横断的に比較できる。限られた人員で対応順を決める場面では、スコアの高い深刻なものから着手するのが合理的である。
エ ×ツールの表示順は内部のソート仕様に依存し深刻度を反映しないため、優先度判断の客観的指標にはならない。

くわしく

脆弱性管理ではCVE(識別子)とCVSS(深刻度スコア)の役割を区別することが重要である。CVEは『何の脆弱性か』を示す名札、CVSSは『どれだけ危険か』を示す物差しである。実務ではCVSSに加え自社環境での悪用可能性や資産の重要度も加味して優先度を決める。

本番での押さえどころ

試験のコツ

優先度(どれだけ危険か)はCVSSスコア、識別(何の脆弱性か)はCVE番号。役割を取り違えないこと。

覚え方

CVEは『名前(背番号)』、CVSSは『点数(危険度)』。優先順位は点数(CVSS)で決める。

よくある誤り

CVEとCVSSを混同し、CVE番号で優先度を決めようとする。CVEは識別、CVSSは評価という役割の違いを押さえる。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0111

【基本情報技術者試験】脆弱性管理の問題 — 解答・解説|ukamiru 過去問