情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問6 について解説します。
問題
問6 CVSS v3 について、基本評価基準、現状評価基準、環境評価基準のうち、現状評価基準の特徴はどれか。
ア 攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化する。
イ 脆弱性が想定される脅威に応じ、製品利用者ごとに評価結果は異なる。
ウ 製品利用者が脆弱性への対応を決めるための評価に用いる基準であり、評価結果は時間の経過で変化しない。
エ 評価結果は利用環境によらず同じで、かつ、時間の経過でも変化しない。
解説・解答
CVSS v3 の3つの評価基準
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を数値化する仕組みで、v3 では次の3つの評価基準があります。
1. 基本評価基準
脆弱性そのものが持つ本質的な深刻度を表す指標です。攻撃条件(ネットワークから攻撃できるか、認証が必要か など)や、攻撃に成功したときの影響(機密性・完全性・可用性への影響)を評価します。時間が経っても利用環境が変わっても原則変わりません。
2. 現状評価基準
現在のその脆弱性を取り巻く状況を表す指標です。代表的な項目として、攻撃コード(Exploit)の有無・成熟度、利用可能な対策(パッチや回避策)の有無・信頼性、脆弱性情報の信頼性などがあります。これらは「まだ攻撃コードが出ていない」「PoC(概念検証)が公開された」「実用的な攻撃ツールが広く出回った」「対策パッチがリリースされた」など、時間の経過で変化します。
3. 環境評価基準
その脆弱性が存在する組織ごとのシステム環境や重要度を表す指標です。例えば、「基幹業務か、テスト用か」「機密情報が多いかどうか」など、利用者(組織)ごとに評価結果が変わります。
それぞれの選択肢について確認します。
ア: 攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化する。
上記の説明の通り、これは現状評価基準の説明です。現状評価基準は、脆弱性を取り巻く現在の状況(攻撃コードや対策の状況)が日々変わっていくため、時間の経過とともにスコアが変わるのが特徴です。これが正解です。
イ: 脆弱性が想定される脅威に応じ、製品利用者ごとに評価結果は異なる。
上記の説明の通り、これは利用者ごとに評価結果が変わる環境評価基準の説明です。現状評価基準は、利用者ごとに変わるのではなく、「攻撃コードの有無」「パッチの有無」といった状況を反映するもので、時間の経過で変化します。
ウ: 製品利用者が脆弱性への対応を決めるための評価に用いる基準であり、評価結果は時間の経過で変化しない。
時間の経過で変化しないのは、脆弱性そのものの性質を表す基本評価基準です。現状評価基準は攻撃コードや対策の状況により時間とともに変化します。
エ: 評価結果は利用環境によらず同じで、かつ、時間の経過でも変化しない。
これは基本評価基準の説明です。基本評価基準は「その脆弱性が元々どれくらい危険か」を表す値なので、利用環境が違っても、時間が経っても原則変わりません。
以上により、この問題の解答は「ア」になります。
