CVSS【情報処理安全確保支援士試験平成30年度秋期午後1 問3 No.2】

情報処理安全確保支援士試験平成30年度秋期午後1 問3 No.2

【出典：情報処理安全確保支援士試験平成30年度秋期午後1問3（一部、加工あり）】

【脆弱性情報の公開と対応】
　ある日、S君は、アプリケーションフレームワーク（以下、AFという）のうち、Eサーバで使用しているもの（以下、E-AFという）の脆弱性（以下、脆弱性Tという）の情報が、前日に公開されていることを発見し、Kリーダに報告した。脆弱性Tの情報を図2に示す。

　脆弱性Tの情報が公開されると同時に、E-AFの脆弱性修正プログラム（以下、パッチという）が公開されていたが、Kリーダは、パッチを適用するには、通販システムの動作に影響がないことの確認が必要な上、もし何らかの影響がある場合、通販システムを修正するなど時間が掛かることになり、営業上大きな機会損失となることを懸念した。Kリーダは、パッチを適用するために通販システムを直ちに停止させるよりも、当面は稼働を継続させつつ、半月後の定期メンテナンス作業時に、影響の確認と必要な修正をできるだけ短時間に実施する方が望ましいと考えた。

a：CVSS

　CVSS（Common Vulnerability Scoring System）とは、問題文のとおり、セキュリティ脆弱性について「基本評価基準、現状評価基準、環境評価基準の三つの基準で脆弱性の深刻さを評価するシステム」です。

基本評価基準：脆弱性そのものの特性を評価する基準。評価結果は固定で、時間経過や環境に依存しない。CVSS基本値を算出。
現状評価基準：脆弱性の現在の深刻度を評価する基準。攻撃コードの出現有無や対策情報が利用可能であるか、などで評価し、時間経過による変化する。CVSS現状値を算出。
環境評価基準：利用環境を含め、最終的な脆弱性の深刻度を評価する基準。ユーザ毎に変化。CVSS環境値を算出。
深刻度レベル：なし（0）、注意（0.1〜3.9）、警告（4.0〜6.9）、重要（7.0〜8.9）、緊急（9.0〜10.0）