サイトアイコン やさしいネットワークとセキュリティ

CVSS【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.2】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.2

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】

【脆弱性情報の公開と対応】
 ある日、S君は、アプリケーションフレームワーク(以下、AFという)のうち、Eサーバで使用しているもの(以下、E-AFという)の脆弱性(以下、脆弱性Tという)の情報が、前日に公開されていることを発見し、Kリーダに報告した。脆弱性Tの情報を図2に示す。


 脆弱性Tの情報が公開されると同時に、E-AFの脆弱性修正プログラム(以下、パッチという)が公開されていたが、Kリーダは、パッチを適用するには、通販システムの動作に影響がないことの確認が必要な上、もし何らかの影響がある場合、通販システムを修正するなど時間が掛かることになり、営業上大きな機会損失となることを懸念した。Kリーダは、パッチを適用するために通販システムを直ちに停止させるよりも、当面は稼働を継続させつつ、半月後の定期メンテナンス作業時に、影響の確認と必要な修正をできるだけ短時間に実施する方が望ましいと考えた。

a:CVSS

 CVSS(Common Vulnerability Scoring System)とは、問題文のとおり、セキュリティ脆弱性について「基本評価基準、現状評価基準、環境評価基準の三つの基準で脆弱性の深刻さを評価するシステム」です。

モバイルバージョンを終了