情報システムの脆弱性の深刻度を評価するもの|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問9
出典:令和元年秋期 午前Ⅱ 問9
分野:セキュリティ / セキュリティ技術評価
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
- ア:CVSS
- イ:ISMS
- ウ:PCI DSS
- エ:PMS
TSUNAGARU-ADVICE
まず押さえたいこと
CVSSは、情報システムの脆弱性の深刻度を評価するための共通評価方式です。基本評価基準、現状評価基準、環境評価基準の三つを用いて、脆弱性の深刻度を数値化します。
迷ったときの判断軸
ISMSは情報セキュリティマネジメントシステム、PCI DSSはクレジットカード情報を扱う事業者向けのセキュリティ基準、PMSは個人情報保護マネジメントシステムです。脆弱性の深刻度をスコアで評価する文脈なら、CVSSと判断しましょう。
科目Bにつなげるために
科目Bでは、複数の脆弱性に対して、どれを優先して対応すべきかを問われることがあります。CVSSは、脆弱性対応の優先順位付けに使える指標として理解しておきましょう。
CVSSは、脆弱性の深刻度を共通の基準で評価するための仕組みです。
脆弱性は、製品やベンダーによって表現がばらばらだと、どれを優先して対応すべきか判断しにくくなります。そこでCVSSでは、脆弱性の深刻度を0から10.0までの数値で表し、比較しやすくしています。
基本評価基準は、脆弱性自体がどれほど危険かを見る基準です。たとえば、情報漏えいにつながるか、データ改ざんが起こるか、サービス停止につながるかなどを評価します。
現状評価基準は、今その脆弱性がどれほど危険な状態にあるかを見る基準です。攻撃手法が公開されている場合や、すでに悪用されている場合は、深刻度が高くなりやすいです。
環境評価基準は、自社や利用者の環境ではどれほど影響があるかを見る基準です。同じ脆弱性でも、インターネットに公開されているシステムと、社内だけで使うシステムでは、対応の優先度が変わることがあります。
つまりCVSSは、「脆弱性の危険度を数値で表し、どれから対応すべきか判断しやすくするための評価方法」と考えると分かりやすいです。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:ISMS
⇒ISMSは、Information Security Management Systemの略で、組織の情報セキュリティを継続的に管理・改善するための仕組みです。脆弱性の深刻度を三つの評価基準で点数化するCVSSとは異なります。
ウ:PCI DSS
⇒PCI DSSは、クレジットカード情報を安全に取り扱うためのセキュリティ基準です。カード会員データを保護するための要求事項であり、脆弱性の深刻度評価手法ではありません。
エ:PMS
⇒PMSは、Personal Information Protection Management Systemの略で、個人情報保護マネジメントシステムを指します。個人情報の適切な管理を目的とする仕組みであり、脆弱性の深刻度を評価するCVSSとは異なります。