応用情報技術者試験 令和6年秋 午前問41 解説付き過去問
問題
JVNなどの脆弱性情報サイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
正解
解説
CVE(Common Vulnerabilities and Exposures)は、ソフトウェアやシステムに含まれる脆弱性を識別するための識別子である。JVN(Japan Vulnerability Notes)やNVD(National Vulnerability Database)などの脆弱性情報サイトでは、このCVE識別子を用いて脆弱性情報を管理・提供している。
各選択肢の説明は以下のとおりである。
各選択肢の説明は以下のとおりである。
- コンピュータで必要なセキュリティ設定項目を識別するための識別子
これはCVEではなく、CISベンチマークやSCAP(Security Content Automation Protocol)などのセキュリティフレームワークに関連する識別子である。CVEは脆弱性の識別に使用されるため、この説明は当てはまらない。 - 脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
改ざんされたWebサイトのスクリーンショットを識別するための仕組みは存在しない。CVEは、改ざんや攻撃の結果を記録するのではなく、ソフトウェアやシステムの脆弱性自体を識別するための識別子である。 - 製品に含まれる脆弱性を識別するための識別子
これはCVEの正しい説明である。CVEは、特定のソフトウェアやハードウェアに存在する脆弱性を一意に識別し、脆弱性管理や対策を容易にするために使用される。例えば、「CVE-2023-12345」といった形式で識別される。 - セキュリティ製品の種別を識別するための識別子
セキュリティ製品の分類を識別する仕組みにはCWE(Common Weakness Enumeration)やCAPEC(Common Attack Pattern Enumeration and Classification)などがあるが、CVEは特定の脆弱性を識別するものであり、セキュリティ製品の種別を識別するものではない。