平成30年春期試験問題 午前Ⅱ 問1

CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。

  • 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
  • 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
  • 脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。
  • 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
解説
CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)は、情報システムの脆弱性に対する汎用的な評価手法で、これを用いることで脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能です。CVSS v3は2015年6月に公開されたバージョンです。

CVSSでは次の3つの基準で脆弱性を(0.0から10.0までの得点で)評価します。
基本評価基準 (Base Metrics)
脆弱性自体の深刻度を評価する指標。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。
現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。
環境評価基準 (Environmental Metrics)
ユーザーの利用環境も含め、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、ユーザーごとに変化する。
  • 正しい。基本評価基準の説明です。
  • 現状評価基準の説明です。
  • CVSSではなく「不正のトライアングル」についての説明です。
  • 環境評価基準の説明です。

Pagetop