共通脆弱性評価システムCVSS (Common Vulnerability Scoring System) に関する次の記述のうち、最も不適切なものはどれか。
@ 情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法である。
A ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになる。
B 脆弱性の深刻度を同一の基準の下で定量的に比較できる。
C ベンダーに特化した評価方法を提供する。
D 情報システムに求められるセキュリティ特性である、機密性、完全性、可用性に対する影響をネットワークから攻撃可能かどうかといった基準で評価する。
C
@ CVSS (Common Vulnerability Scoring System = 共通脆弱性評価システム) は、情報システムの脆弱性の深刻度を評価する方法の一つである。
A CVSSを用いると、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになる。
B CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになる。
C 不適切である。CVSSは、ベンダーに依存しない共通の評価方法を提供している。
D 機密性、完全性、可用性に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価すし、CVSS基本値 (Base Score) を算出する。
V−27 | 目次 | V−29 |