情報処理安全確保支援士令和6年春期 午前Ⅱ 問9

問9

JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。
  • IT製品の脆弱性を評価する手法
  • 製品を識別するためのプラットフォーム名の一覧
  • セキュリティに関連する設定項目を識別するための識別子
  • ソフトウェア及びハードウェアの脆弱性の種類の一覧
  • [出題歴]
  • 情報セキュリティ H26春期 問14

分類

テクノロジ系 » セキュリティ » セキュリティ技術評価

正解

解説

CWE(Common Weakness Enumeration)は、1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となり仕様策定が行われたソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準です。

CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化しています。脆弱性タイプは、ビュー(View)、カテゴリー(Category)、脆弱性(Weakness)、複合要因(Compound Element)の4種類に分類されます。現在、ビュー(View)として22個、カテゴリー(Category)として105個、脆弱性(Weakness)として638個、複合要因(Compound Element)として12個、合計777個の脆弱性タイプが分類され一覧となっています(IPA Webサイトより引用)。
  • CVSS(Common Vulnerability Scoring System)の説明です。
  • CPE(Common Platform Enumeration)の説明です。
  • CCE(Common Configuration Enumeration)の説明です。
  • 正しい。CWEの説明です。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop