平成26年春期試験問題 午前Ⅱ 問14

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。

  • 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
  • 製品を識別するためのプラットフォーム名の一覧
  • セキュリティに関連する設定項目を識別するための識別子
  • ソフトウェアの脆弱性の種類の一覧
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
解説
CWE(Common Weakness Enumeration)は、1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となり仕様策定が行われたソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準です。

CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化しています。脆弱性タイプは、ビュー(View)、カテゴリー(Category)、脆弱性(Weakness)、複合要因(Compound Element)の4種類に分類されます。現在、ビュー(View)として22個、カテゴリー(Category)として105個、脆弱性(Weakness)として638個、複合要因(Compound Element)として12個、合計777個の脆弱性タイプが分類され一覧となっています(IPA Webサイトより引用)。
  • CVSS(Common Vulnerability Scoring System)の説明です。
  • CPE(Common Platform Enumeration)の説明です。
  • CCE(Common Configuration Enumeration)の説明です。
  • 正しい。CWEの説明です。

この問題の出題歴


Pagetop