「AP過去問 令和6年度秋期 午前 問41」の版間の差分
編集の要約なし |
(→回答・解説) |
||
| 42行目: | 42行目: | ||
ウ | <span style = "background:linear-gradient(transparent 75%, #7fbfff 75%); font-weight:bold; "> | ||
ウ</span> | |||
2024年11月30日 (土) 00:07時点における最新版
問41(問題文)
JVNなどの脆弱性情報サイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
ア コンピュータで必要なセキュリティ設定項目を識別するための識別子
イ 脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
ウ 製品に含まれる脆弱性を識別するための識別子
エ セキュリティ製品の種別を識別するための識別子
回答・解説
JVN(Japan Vulnerability Notes)は日本脆弱性情報共有ネットワークのことで、IPA(Information-technology Promotion Agency, Japan:独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が運営する脆弱性情報の公開サイトです。IPAは経済産業省の管轄下にあり、情報処理技術やセキュリティ分野における日本国内の中心的な存在として、企業や個人に役立つ多くの情報や支援を提供しています。JPCERT(Japan Computer Emergency Response Team Coordination Center:日本コンピュータ緊急対応チーム・コーディネーションセンター)は日本国内の公式なCSIRT(Computer Security Incident Response Team)です。情報セキュリティの事故や問題が発生した際に、その調査や解決をサポートする役割を担います。
CVE(Common Vulnerabilities and Exposures)は、情報セキュリティにおける脆弱性を一意に識別するための識別子です。CVE識別子は、各脆弱性に対して固有のIDを割り当て、脆弱性情報を統一的に管理し、共有できるようにする仕組みです。
CVE識別子の形式:
- 例: CVE-2024-12345
- CVE: 共通脆弱性識別子の頭文字。
- 2024: 脆弱性が登録された年。
- 12345: 脆弱性の一意の番号。
アは誤りです。セキュリティ設定項目の識別はCVEの目的ではありません。セキュリティ設定の識別には、CISベンチマークなどが利用されることがあります。
イは誤りです。改ざんされたWebサイトやスクリーンショットを識別する仕組みは、CVEには関係ありません。
ウは正しいです。CVEは、製品やシステムに含まれる脆弱性を識別するための識別子です。JVNやNVD(National Vulnerability Database)などのサイトで広く採用されています。
エは誤りです。セキュリティ製品そのものの種別を識別するのはCVEではなく、製品カタログや分類システムが該当します。
したがって
ウ
が答えです。