脆弱性管理,測定,評価を自動化するためにNISTが策定した基準はどれか。
- FIPS(Federal Information Processing Standards)
- SCAP(Security Content Automation Protocol)
- SIEM(Security Informationand EventM anagement)
- SOAR(Security Orchestration,Automation and Response)
解答
イ
解説
SCAPは、米国国立標準技術研究所(NIST)が策定した、脆弱性管理、測定、評価を自動化するオープンな標準規格であり、以下のコンポーネントで構成されています。
- 共通脆弱性識別子(CVE):脆弱性を識別するための共通の識別子
- 共通脆弱性評価システム(CVSS):脆弱性の深刻度を評価するための共通のフレームワーク
- セキュリティコンテンツ自動化プロトコル(SCAP):脆弱性情報の自動化された交換と処理のためのプロトコル
- 拡張可能な脆弱性記述言語(XCCDF):脆弱性情報の記述するためのXMLベースの言語
- FIPS(Federal Information Processing Standards)
情報処理システムのセキュリティに関する連邦政府標準です。 - SCAP(Security Content Automation Protocol)
正しいです。 - SIEM(Security Informationand EventM anagement)
セキュリティ情報イベント管理のことです。 - SOAR(Security Orchestration,Automation and Response)
セキュリティオーケストレーション、自動化、および応答のことです。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | セキュリティ技術評価 |
出題歴
- SC 令和5年度秋期 問12
