平成30年秋期試験問題 午前問28

共通脆弱性評価システム(CVSS)の特徴として,適切なものはどれか。

  • CVSSv2とCVSSv3は,脆弱性の深刻度の算出方法が同じであり,どちらのバージョンで算出しても同じ値になる。
  • 情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり,特定ベンダーに依存しない評価方法を提供する。
  • 脆弱性の深刻度を0から100の数値で表す。
  • 脆弱性を評価する基準は,現状評価基準と環境評価基準の二つである。
正解 問題へ
分野:ストラテジ系
中分類:企業活動
小分類:会計・財務
解説
CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)は、情報システムの脆弱性に対する汎用的な評価手法で、これを用いることで脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能になります。

CVSSでは、次の3つの基準で脆弱性の深刻度を(0.0から10.0までのスコアで)評価します。
基本評価基準 (Base Metrics)
脆弱性自体の深刻度を評価する指標。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。
現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。
環境評価基準 (Environmental Metrics)
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、製品利用者ごとに変化する。
  • CVSSv3では基本評価基準に変更が加えられたため、同じ脆弱性であってもCVSSv2とCVSSv3の評価値が異なることがあります。
  • 正しい。
  • 深刻度のスコアは0.0~10.0で算出され、スコアが高いほど深刻度も高くなります。スコアに応じて緊急、重要、警告、注意の区分が設定されています。
  • 基本評価基準、現状評価基準、環境評価基準の3つがあります。

Pagetop