今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は3.1章:脆弱性の概要のCheck問題です。
【Q1】脆弱性とは何か。
情報セキュリティにおける脆弱性、組織や情報システム、物理環境など、情報の取扱いに関わる構成要素の中にあって、情報の漏洩や紛失、改ざんなどのリスクを発生しやすくする要因となる弱点や欠陥のこと。
【Q2】脆弱性にはどのような種類があるか。
【Q3】ゼロデイ攻撃とは何か。
脆弱性が発見された際にパッチが適用されるよりも前に当該脆弱性を悪用して行われる攻撃。
【Q4】JVNではどのような情報を提供しているか。
Japan Vulnerability Notesでは、国内で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供するポータルサイト。
【Q5】CVSSの概要について述べよ。
脆弱性の深刻さを評価する仕組み。以下の3つの基準で評価する。
①基本評価基準
②現状評価基準
③環境評価基準
【Q6】効果的な情報セキュリティ対策を実施するにはどのような点に着目する必要があるか。
組織や情報システムの脆弱性について正しく認識し、脆弱性に働きかけることで、情報リスクの顕在化を回避したり、損失を軽減したりすることができる。
私が使っているのは2022年版のテキストですが、2023年版も出ています。