情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「CVSS、脆弱性が見つかった場合の措置」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後2問2設問6」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問6

問2　工場のセキュリティに関する次の記述を読んで、設問1〜7に答えよ。

（略）

課題3：工場内で使われる機器は、標準PC及びFA端末も含め、業務用ソフトなどの脆弱性管理が不十分である。公開されている脆弱性情報が確認されておらず、パッチが適用されていない機器が多い。セキュリティ規程に脆弱性管理についての具体的な言及がなく、どこまで管理するかを各部門に任せている。

（略）

（略）

【課題3の解決】

　Cさんは、M部長と相談し、今後は、システム部が工場内で使われる機器について脆弱性管理を指導することにした。具体的には、システム部が脆弱性管理のプロセスを規定し、各部門に順守してもらうことにした。Cさんが考えた脆弱性管理のプロセスの案を表5に示す。

④について、この値はどれか。（CVE/CVSS環境値/CVSS基本値/CVSS現状値/CWE）：CVSS環境値

　脆弱性の深刻度を評価するにはCVSS（Common Vulnerability Scoring System）という指標を用います。

　CVSSには以下の項目があります。

• CVSS基本値：脆弱性そのものの特性を評価。時間経過や利用環境の違いは影響しない。
• CVSS現状値：脆弱性の現在の深刻度を評価。脆弱性への対応状況に応じ時間経過により変化する。利用環境の違いは影響しない。
• CVSS環境値：CVSS現状値に利用環境も含め、最終的な脆弱性の深刻度を評価。

　「その時点での自社に取手の深刻度」とあるので、CVSS環境値が該当します。

⑤について、図5中の業務サーバのソフトウェアにネットワーク経由での遠隔操作につながる可能性がある深刻度の高い脆弱性が見つかった場合に、A-NETへの被害を防ぐために適切と考えられる措置の例を二つ挙げ、それぞれ25字以内で具体的に述べよ。：当該脆弱性に対応したパッチを適用する。/脆弱性をもつソフトウェアの利用を停止する。

　使用しているソフトウェアに脆弱性が見つかった場合、基本的には以下の措置を行います。

• ソフトウェア製造元から脆弱性に対応したパッチが公開されている場合、直ちにパッチを適用する。
• パッチが提供されていない場合は、そのソフトウェアの利用を禁止する。　 

　脆弱性管理のプロセスは、将来、A社のセキュリティ規程に取り入れる。

【出典：情報処理安全確保支援士試験 令和元年度 秋期 午後2問2】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf