応用情報技術者試験令和5年春午前問40 解説付き過去問

問題

ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか。

CCE(Common Configuration Enumeration)

CVE(Common Vulnerabilities and Exposures)

CVSS(Common Vulnerability Scoring System)

CWE(Common Weakness Enumeration)

この問題は、ソフトウェアの既知の脆弱性を識別するための標準的な情報識別子について問うものです。

CVE（Common Vulnerabilities and Exposures）
CVEは、既知の脆弱性に対して一意の識別子（例：CVE-2024-12345）を割り当てる仕組みであり、
各種セキュリティ製品や脆弱性情報データベースで共通に使用される国際標準です。
MITRE社によって管理されており、CVE識別子はセキュリティ関連の報告や対策情報の共有の際に用いられます。
その他の識別子との違い
CCEは構成ミスや設定不備を識別するための識別子、
CVSSは脆弱性の深刻度を定量的に評価するためのスコアリングシステム、
CWEは脆弱性の原因となる典型的なソフトウェア設計上の欠陥やコーディング上の誤りの分類を表す識別子です。

したがって、ソフトウェアの既知の脆弱性を一意に識別するために用いられる情報は「CVE」です。