情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

2022年2月7日 / 最終更新日 : 2022年2月7日湊コウ 3(4)脆弱性評価の指標

CVE

特徴

CVE（Common Vulnerabilities and Exposures）とは、ソフトウェア製品などで発見された脆弱性やインシデントについて情報を収集・公開しているデータベースの一つで、1999年から米非営利団体のMITRE社によって提供されている。
CVEでは、個別のソフトウェア製品中の脆弱性を共通的に利用できるようCVE識別子（「CVE-西暦-連番」という形式）が付与される。
日本で使用されるソフトウェア製品に関する脆弱性や対策の情報は、JVN（Japan Vulnerability Notes）（JPCERT/CCとIPAが共同運営）で提供され、独自の脆弱性識別番号と、CVE識別子も利用して情報提供している。

過去問

情報処理安全確保支援士試験令和3年度春期午前2 問8
情報処理安全確保支援士試験平成30年度秋期午前2 問2

【出典：情報処理安全確保支援士試験令和3年度春期午前2 問8（一部、加工あり）】

【出典：情報処理安全確保支援士試験平成30年度秋期午前2 問2（一部、加工あり）】

JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE（Common Vulnerabilities and Exposures）識別子の説明はどれか。

コンピュータで必要なセキュリティ設定項目を識別するための識別子
→CCE（Common Configuration Enumeration：共通セキュリティ設定一覧）のことです。
脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
→このような識別子はありません。
製品に含まれる脆弱性を識別するための識別子
→正解
セキュリティ製品を識別するための識別子
→CPE（Common Platform Enumeration：共通プラットフォーム一覧）のことです。

カテゴリー: 3(4)脆弱性評価の指標、セキュリティ

タグ: CVE H30秋SC R3春SC

1(8)①暗号技術

前の記事

AES

2022年2月6日

2(7)情報セキュリティ組織・機関

次の記事

サイバー情報共有イニシアティブ（J-CSIP）

2022年2月9日

PAGE TOP