第19問
情報セキュリティ管理に関する記述の正誤の組み合わせとして、最も適切なもの を下記の解答群から選べ。 a CC(Common Criteria)とは、組織内での情報の取り扱いについて、機密性・ 完全性・可用性を確保するための仕組みのことである。 b CSIRT(Computer Security Incident Response Team)とは、24 時間365 日体 制で企業のネットワークやデバイスを監視し、インシデントの検出を行う組織の ことである。 c CVE(Common Vulnerabilities and Exposures)とは、情報セキュリティにお ける脆 ぜい 弱 じゃく 性やインシデントに付与された固有の名称や番号のカタログのことで ある。 d CVSS(Common Vulnerability Scoring System)とは、情報システムの脆 ぜい 弱 じゃく 性 の深刻度を、基本評価基準、現状評価基準、環境評価基準の3 つの基準で評価す る枠組みのことである。
- ア a:正 b:正 c:正 d:誤
- イ a:正 b:正 c:誤 d:誤
- ウ a:正 b:誤 c:正 d:正
- エ a:誤 b:誤 c:正 d:正
- オ a:誤 b:誤 c:誤 d:正
▼ 解答・解説を見る
正解:全員正解
解答:全員正解
各用語の正誤を検討すると、いずれの選択肢の組み合わせも適切とはいえず、本問は全員正解となった。
- a(×):CC(Common Criteria/コモンクライテリア、ISO/IEC 15408)は、IT製品・システムのセキュリティを評価・認証するための国際的な評価基準。「機密性・完全性・可用性を確保する組織的な仕組み」はISMSの説明であり誤り。
- b(×):「24時間365日体制でネットワークやデバイスを監視しインシデントを検出する組織」はSOC(Security Operation Center)の説明に近い。CSIRTは、セキュリティインシデント発生時に対応・調整を担う組織であり、記述としては不適切。
- c(○):CVE(Common Vulnerabilities and Exposures)は、個々の脆弱性に固有の識別番号を付与して共有するカタログ。正しい。
- d(○):CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を基本評価基準・現状評価基準・環境評価基準の3基準で数値評価する枠組み。正しい。
正しい組み合わせ(a:誤、b:誤、c:正、d:正)に対応する選択肢が成立せず、適切肢が一意に定まらないため 全員正解。