CVE

特徴

  • CVE(Common Vulnerabilities and Exposures)とは、ソフトウェア製品などで発見された脆弱性やインシデントについて情報を収集・公開しているデータベースの一つで、1999年から米非営利団体のMITRE社によって提供されている。
  • CVEでは、個別のソフトウェア製品中の脆弱性を共通的に利用できるようCVE識別子(「CVE-西暦-連番」という形式)が付与される。
  • 日本で使用されるソフトウェア製品に関する脆弱性や対策の情報は、JVN(Japan Vulnerability Notes)(JPCERT/CCとIPAが共同運営)で提供され、独自の脆弱性識別番号と、CVE識別子も利用して情報提供している。

過去問

情報処理安全確保支援士試験 令和3年度 春期 午前2 問8
情報処理安全確保支援士試験 平成30年度 秋期 午前2 問2

【出典:情報処理安全確保支援士試験 令和3年度 春期 午前2 問8(一部、加工あり)】

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問2(一部、加工あり)】

JVNなどの脆弱性対策情報ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。

  1. コンピュータで必要なセキュリティ設定項目を識別するための識別子
    →CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)のことです。
  2. 脆弱性が悪用されて改ざんされたWebサイトのスクリーンショットを識別するための識別子
    →このような識別子はありません。
  3. 製品に含まれる脆弱性を識別するための識別子
    →正解
  4. セキュリティ製品を識別するための識別子
    →CPE(Common Platform Enumeration:共通プラットフォーム一覧)のことです。