情報処理安全確保支援士令和元年秋期 午前Ⅱ 問9

問9

基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
  • CVSS
  • ISMS
  • PCI DSS
  • PMS
  • [出題歴]
  • 情報セキュリティ H25春期 問10
  • 情報セキュリティ H26秋期 問7
  • 安全確保支援士 H29秋期 問13

分類

テクノロジ系 » セキュリティ » セキュリティ技術評価

正解

解説

CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)は、情報システムの脆弱性に対する汎用的な評価手法で、これを用いることで脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能です。

CVSSでは次の3つの基準ごとに0.0から10.0までのスコアを付け、脆弱性を評価します。
基本評価基準 (Base Metrics)
脆弱性自体の深刻度を評価する指標。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。
現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。
環境評価基準 (Environmental Metrics)
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、製品利用者ごとに変化する。
09.png/image-size:219×199
  • 正しい。
  • Information Security Management Systemの略。情報セキュリティマネジメントシステムの整備・管理・運用に関する仕組みでJIS Q 27001 (ISO/IEC 27001)の基となっています。
  • Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準です。
  • Personal information protection Management Systemの略。個人情報保護マネジメントシステムの整備・管理・運用に関する仕組みです。
参考URL: 共通脆弱性評価システムCVSS概説
 http://www.ipa.go.jp/security/vuln/CVSS.html
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop