CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
- 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
- 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
- 脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。
- 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
解答
ア
解説
- 機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
正しいです。
基本評価基準の説明です。 - 攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
現状評価基準の説明です。 - 脆弱性を悪用した攻撃シナリオについて,機会,正当化,動機の三つの観点から,脆弱性が悪用される基本的なリスクを評価する。
不正のトライアングルの説明であり、CVSS v3の評価基準ではありません。 - 利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
環境評価基準の説明です。
参考情報
分野・分類
分野 | テクノロジ系 |
大分類 | 技術要素 |
中分類 | セキュリティ |
小分類 | セキュリティ技術評価 |
出題歴
- SC 平成30年度春期 問1