応用情報技術者試験令和3年秋午前問41 解説付き過去問

問題

基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。

CVSS

ISMS

PCI DSS

PMS

この問題は、情報システムの脆弱性の深刻度を評価するための基準を問うものです。

CVSSとは
Common Vulnerability Scoring System（CVSS）とは、ITシステムの脆弱性の深刻度を評価するためのフリーでオープンなフレームワークです。この評価システムは、脆弱性が与える影響の程度を数値で表します。
CVSSは基本評価基準、環境評価基準、時間評価基準の３つのメトリクスで構成されています。基本評価基準では、脆弱性が持つ固有の危険性を評価します。環境評価基準では、特定の環境における脆弱性の影響を評価します。時間評価基準では、脆弱性の修正の有無やその他の変化による評価の変動を捉えます。
他の選択肢との比較
ISMS（Information Security Management System）は、組織の情報セキュリティを管理するためのシステムであり、特定の脆弱性の評価基準そのものではありません。
PCI DSS（Payment Card Industry Data Security Standard）は、カード情報のセキュリティを保護するための規格ですが、これも脆弱性の深刻度を評価するための基準ではなく、主に決済カード業界に特化しています。
PMS（Performance Management System）は、組織のパフォーマンス管理を目的とするシステムであり、セキュリティ脆弱性の評価とは関連性が低いです。

したがって、基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはCVSSが正解です。