VEX(Vulnerability Exploitability eXchange)の説明|情報処理安全確保支援士 シラバス準拠予想問題2 問9
出典:3-10:サプライチェーンの情報のセキュリティの推進|製品・サービスのサプライチェーンのリスクに関する知識
分野:セキュリティ / 情報セキュリティ
VEX(Vulnerability Exploitability eXchange)の説明として,最も適切なものはどれか。
- ア:SBOMに含まれるコンポーネントに関する既知の脆弱性について,特定の製品や環境で実際に影響を受けるかどうかの調査結果を共有するための記述形式である。
- イ:公開された脆弱性に一意の識別子を付与し,脆弱性情報を共通して参照できるようにするための一覧である。
- ウ:脆弱性の深刻度を,攻撃元区分,攻撃条件,必要な権限,影響範囲などの評価基準に基づいて数値化する手法である。
- エ:製品,OS,アプリケーションなどの名称やバージョンを標準化された形式で表し,脆弱性情報との照合に利用する識別体系である。
TSUNAGARU-ADVICE
まず押さえたいこと
VEXは、SBOMに含まれるコンポーネントに既知の脆弱性が見つかったとき、その脆弱性が特定の製品や環境で実際に影響するかどうかを共有するための記述形式です。ポイントは、脆弱性が存在するだけでなく、実際に悪用可能か・影響を受けるかを示すことです。
迷ったときの判断軸
公開された脆弱性に一意の識別子を付けるものはCVE、脆弱性の深刻度を数値化するものはCVSS、製品名やバージョンを標準化して表すものはCPEです。VEXは、SBOM上の部品に関する脆弱性の影響有無を伝える情報と判断しましょう。
科目Bにつなげるために
科目Bでは、利用中のOSSやライブラリに脆弱性が公表されたとき、直ちに全てを修正対象とするのではなく、自社製品の構成や利用方法で実際に影響を受けるかを確認する場面があります。VEXは、SBOMと組み合わせて脆弱性対応の優先順位を判断するための情報として整理しておきましょう。
VEXは、Vulnerability Exploitability eXchangeの略で、既知の脆弱性が特定の製品や環境において実際に影響を与えるかどうかを共有するための記述形式です。
SBOMによってソフトウェアに含まれるコンポーネントを把握できても、そのコンポーネントに脆弱性があるだけで、必ずしも製品全体が影響を受けるとは限りません。VEXは、該当する脆弱性について「影響あり」「影響なし」「調査中」などの判断結果を共有し、脆弱性対応の優先順位付けに役立てます。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:公開された脆弱性に一意の識別子を付与し,脆弱性情報を共通して参照できるようにするための一覧である。
⇒CVEの説明です。CVEは、公開された脆弱性に一意の識別子を付与し、脆弱性情報を共通して参照しやすくする仕組みです。VEXは、脆弱性そのものの識別ではなく、その脆弱性が特定の製品や環境で実際に影響するかどうかを示すために用いられます。
ウ:脆弱性の深刻度を,攻撃元区分,攻撃条件,必要な権限,影響範囲などの評価基準に基づいて数値化する手法である。
⇒CVSSの説明です。CVSSは、脆弱性の深刻度を数値化する評価手法です。VEXは深刻度を点数化するものではなく、特定の製品や環境における影響有無や悪用可能性に関する調査結果を共有するための形式です。
エ:製品,OS,アプリケーションなどの名称やバージョンを標準化された形式で表し,脆弱性情報との照合に利用する識別体系である。
⇒CPEの説明です。CPEは、製品名やバージョンなどを標準化された形式で識別するための体系です。VEXは製品を識別するための体系ではなく、既知の脆弱性が特定の製品や環境に実際に影響するかどうかを共有するための形式です。