情報システムの脆弱性の深刻度を評価するもの|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問9

出典:令和元年秋期 午前Ⅱ 問9 分野:セキュリティ / セキュリティ技術評価
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
  • ア:CVSS
  • イ:ISMS
  • ウ:PCI DSS
  • エ:PMS
解説

CVSSは、脆弱性の深刻度を共通の基準で評価するための仕組みです。

脆弱性は、製品やベンダーによって表現がばらばらだと、どれを優先して対応すべきか判断しにくくなります。そこでCVSSでは、脆弱性の深刻度を0から10.0までの数値で表し、比較しやすくしています。

評価基準 内容 変化する要因
基本評価基準 脆弱性そのものの深刻度を評価する。機密性・完全性・可用性への影響や、攻撃のしやすさなどを見る 時間や利用環境では基本的に変化しない
現状評価基準 その時点での危険度を評価する。実際に攻撃コードが出回っているか、対策があるかなどを見る 時間の経過によって変化する
環境評価基準 利用者の環境における最終的な深刻度を評価する。自社環境でどれほど影響があるかを見る 利用者のシステム環境によって変化する

基本評価基準は、脆弱性自体がどれほど危険かを見る基準です。たとえば、情報漏えいにつながるか、データ改ざんが起こるか、サービス停止につながるかなどを評価します。

現状評価基準は、今その脆弱性がどれほど危険な状態にあるかを見る基準です。攻撃手法が公開されている場合や、すでに悪用されている場合は、深刻度が高くなりやすいです。

環境評価基準は、自社や利用者の環境ではどれほど影響があるかを見る基準です。同じ脆弱性でも、インターネットに公開されているシステムと、社内だけで使うシステムでは、対応の優先度が変わることがあります。

つまりCVSSは、「脆弱性の危険度を数値で表し、どれから対応すべきか判断しやすくするための評価方法」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:ISMS
⇒ISMSは、Information Security Management Systemの略で、組織の情報セキュリティを継続的に管理・改善するための仕組みです。脆弱性の深刻度を三つの評価基準で点数化するCVSSとは異なります。
ウ:PCI DSS
⇒PCI DSSは、クレジットカード情報を安全に取り扱うためのセキュリティ基準です。カード会員データを保護するための要求事項であり、脆弱性の深刻度評価手法ではありません。
エ:PMS
⇒PMSは、Personal Information Protection Management Systemの略で、個人情報保護マネジメントシステムを指します。個人情報の適切な管理を目的とする仕組みであり、脆弱性の深刻度を評価するCVSSとは異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

CVSSは、情報システムの脆弱性の深刻度を評価するための共通評価方式です。基本評価基準、現状評価基準、環境評価基準の三つを用いて、脆弱性の深刻度を数値化します。

迷ったときの判断軸

ISMSは情報セキュリティマネジメントシステム、PCI DSSはクレジットカード情報を扱う事業者向けのセキュリティ基準、PMSは個人情報保護マネジメントシステムです。脆弱性の深刻度をスコアで評価する文脈なら、CVSSと判断しましょう。

科目Bにつなげるために

科目Bでは、複数の脆弱性に対して、どれを優先して対応すべきかを問われることがあります。CVSSは、脆弱性対応の優先順位付けに使える指標として理解しておきましょう。