CVE|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問8

出典:令和3年春期 午前Ⅱ 問8 分野:セキュリティ / 情報セキュリティ管理
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
  • ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子
  • イ:脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
  • ウ:製品に含まれる脆弱性を識別するための識別子
  • エ:セキュリティ製品を識別するための識別子
この問題を解く
解説

CVE(共通脆弱性識別子)は、公表されている脆弱性に付けられる共通の識別番号です。

脆弱性ごとに一意の番号を付けることで、ベンダーやセキュリティ機関が同じ脆弱性情報を共通して参照できるようになります。

CVEの形式は、CVE-西暦年号-4桁以上の数字です。たとえば、CVE-2021-44228は、Log4jに関する有名な脆弱性を表します。

CVEは、JVN(Japan Vulnerability Notes)などの脆弱性情報サイトでも使われています。したがって、「製品などに含まれる脆弱性を識別するための識別子」という説明が適切です。

用語 意味
CVE 共通脆弱性識別子。個別の脆弱性を識別する
CCE 共通セキュリティ設定一覧。設定項目を識別する
CWE 共通脆弱性タイプ一覧。脆弱性の種類を分類する
CPE 共通プラットフォーム一覧。製品やOSなどを識別する
CVSS 共通脆弱性評価システム。脆弱性の深刻度を評価する

つまりCVEは、「脆弱性につける共通の管理番号」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:コンピュータで必要なセキュリティ設定項目を識別するための識別子
⇒セキュリティ設定項目を識別する説明であり、CVEの説明ではありません。CVEは、設定項目ではなく、公開されている脆弱性を識別するための識別子です。
イ:脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
⇒Webサイト改ざんの証跡やスクリーンショットを識別するものではありません。CVEは、改ざんされた結果ではなく、悪用される可能性のある脆弱性そのものを識別するために使われます。
エ:セキュリティ製品を識別するための識別子
⇒セキュリティ製品を識別する説明ではありません。CVEは、ウイルス対策ソフトやファイアウォールなどの製品名を識別するためではなく、製品に含まれる脆弱性を識別するための識別子です。
TSUNAGARU-ADVICE

まず押さえたいこと

CVE識別子は、ソフトウェアや製品に含まれる既知の脆弱性を一意に識別するための番号です。脆弱性情報を共有するときに、どの脆弱性のことを指しているのかを共通に示すために使われます。

迷ったときの判断軸

セキュリティ設定項目を識別するもの、改ざんされたWebサイトの画像を識別するもの、セキュリティ製品を識別するものではありません。CVEは、製品に含まれる脆弱性そのものを識別するIDと判断しましょう。

科目Bにつなげるために

科目Bでは、脆弱性情報・パッチ適用・影響調査の流れを読み取る問題が出ることがあります。CVE識別子を使うと、ベンダや組織をまたいで同じ脆弱性を参照できるため、対象製品・影響範囲・対策状況を確認する起点になると理解しておきましょう。

の問題 試験TOPへ の問題