基本情報技術者試験「脆弱性管理」の問題
C社の脆弱性管理担当者は、診断ツールが報告した多数の脆弱性に対し、限られた人員で修正対応する順序を決めたい。対応の優先度を客観的に判断する指標として、最も適切なものはどれか。
ア脆弱性が報告された日時が新しいものほど高い優先度として扱い、その順に対応する。
イ脆弱性に割り当てられたCVE番号の数字が小さいものから順に対応する。
ウ攻撃容易性や影響度を共通の物差しで点数化した値を比較し順序を決める。
エ診断ツールの画面で一覧の上から表示された順に機械的に対応する。
正解
ウ.攻撃容易性や影響度を共通の物差しで点数化した値を比較し順序を決める。
CVSS(共通脆弱性評価システム)は攻撃容易性や影響範囲などを共通の基準で数値化したスコアであり、脆弱性の深刻度を客観的・横断的に比較できる。限られた人員で対応順を決める場面では、スコアの高い深刻なものから着手するのが合理的である。
?選択肢ごとの解説
ア ×報告日時の新しさは深刻度と無関係であり、新しいが軽微な脆弱性を、古いが致命的な脆弱性より先に対応する不合理を招く。
イ ×CVE番号は脆弱性を一意に識別するための採番であり、番号の大小は深刻度を表さないため優先度の根拠にならない。
ウ ○CVSS(共通脆弱性評価システム)は攻撃容易性や影響範囲などを共通の基準で数値化したスコアであり、脆弱性の深刻度を客観的・横断的に比較できる。限られた人員で対応順を決める場面では、スコアの高い深刻なものから着手するのが合理的である。
エ ×ツールの表示順は内部のソート仕様に依存し深刻度を反映しないため、優先度判断の客観的指標にはならない。
✎くわしく
脆弱性管理ではCVE(識別子)とCVSS(深刻度スコア)の役割を区別することが重要である。CVEは『何の脆弱性か』を示す名札、CVSSは『どれだけ危険か』を示す物差しである。実務ではCVSSに加え自社環境での悪用可能性や資産の重要度も加味して優先度を決める。
✓本番での押さえどころ
試験のコツ
優先度(どれだけ危険か)はCVSSスコア、識別(何の脆弱性か)はCVE番号。役割を取り違えないこと。
覚え方
CVEは『名前(背番号)』、CVSSは『点数(危険度)』。優先順位は点数(CVSS)で決める。
よくある誤り
CVEとCVSSを混同し、CVE番号で優先度を決めようとする。CVEは識別、CVSSは評価という役割の違いを押さえる。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0111