サイトアイコン やさしいネットワークとセキュリティ

CVSS・脆弱性が見つかった場合の措置【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問6】

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問5

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2(一部、加工あり)】

【課題3の解決】
 Cさんは、M部長と相談し、今後は、システム部が工場内で使われる機器について脆弱性管理を指導することにした。具体的には、システム部が脆弱性管理のプロセスを規定し、各部門に順守してもらうことにした。Cさんが考えた脆弱性管理のプロセスの案を表5に示す。


 脆弱性管理のプロセスは、将来、A社のセキュリティ規程に取り入れる。

④について、この値はどれか。(CVE/CVSS環境値/CVSS基本値/CVSS現状値/CWE):CVSS環境値

 脆弱性の深刻度を評価するにはCVSS(Common Vulnerability Scoring System)という指標を用います。
 CVSSには以下の項目があります。

 「その時点での自社に取手の深刻度」とあるので、CVSS環境値が該当します。

⑤について、図5中の業務サーバのソフトウェアにネットワーク経由での遠隔操作につながる可能性がある深刻度の高い脆弱性が見つかった場合に、A-NETへの被害を防ぐために適切と考えられる措置の例を二つ挙げ、それぞれ25字以内で具体的に述べよ。:当該脆弱性に対応したパッチを適用する。/脆弱性をもつソフトウェアの利用を停止する。

 使用しているソフトウェアに脆弱性が見つかった場合、基本的には以下の措置を行います。

モバイルバージョンを終了