HOME»情報処理安全確保支援士平成30年春期»午前Ⅱ 問1
情報処理安全確保支援士平成30年春期 午前Ⅱ 問1
問1
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
- 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
- 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
- 脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。
- 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
分類 :
テクノロジ系 » セキュリティ » セキュリティ技術評価
正解 :
ア
解説 :
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は、情報システムの脆弱性を評価するためのフレームワークです。ベンダーに依存しない共通かつ汎用的な方法が提供されているため、脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能です。
CVSSでは、次の3つの基準を順番に評価していき、最終的に脆弱性の深刻度を0(低)から10.0(高)のスコアで表します。算出されたスコアをもとに深刻度レベルを分類します。
CVSSでは、次の3つの基準を順番に評価していき、最終的に脆弱性の深刻度を0(低)から10.0(高)のスコアで表します。算出されたスコアをもとに深刻度レベルを分類します。
- 基本評価基準(Base Metrics)
- 脆弱性自体の深刻度を評価する指標。機密性・可用性・完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基順となる
- 現状評価基準(Temporal Metrics)
- 脆弱性の現在の深刻度を評価する指標。攻撃を受ける可能性や利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準となる
- 環境評価基準(Environmental Metrics)
- 製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する指標。二次被害の可能性や影響を受ける範囲などの項目から算出され、製品利用者ごとに変化する。利用者が脆弱性への対応を決めるために評価する基準となる
- 正しい。基本評価基準の説明です。
- 現状評価基準の説明です。
- 不正のトライアングルに関する説明です。CVSSとは関係ありません。
- 環境評価基準の説明です。