例題対応チェック結果(第675問: CVSS)
1. 例題の論点
- 問われているテーマ:
- 基本評価基準(Base)、現状評価基準(Temporal)、環境評価基準(Environmental)の3基準でIT製品の脆弱性深刻度を評価する枠組みの識別
- 正解に必要な知識:
- CVSSは脆弱性の深刻度評価指標
- 3基準(基本/現状/環境)を扱う
- 誤答選択肢を切るポイント:
- ISMSは組織の管理運用の仕組み(評価指標ではない)
- PCI DSSはカード情報保護の業界基準(脆弱性スコア体系ではない)
- PMSは個人情報保護マネジメントの仕組み(深刻度指標ではない)
- 混同しやすい用語:
- CVSS vs CVE vs JVN
- CVSS vs ISMS
- CVSS vs PCI DSS
- ISMS vs PMS
2. 関連する既存記事
| 判定 | 記事タイトル | ファイルパス | コメント |
|---|---|---|---|
| 十分 | CVSSとは?脆弱性の深刻度を共通スコアで判断する | pages/sg/cvss.md | 3基準(基本/現状/環境)とスコア評価を説明できている。 |
| 十分 | 脆弱性情報とは?JVN・CVE・CVSSの関係【SG試験】 | pages/sg/vulnerability-information-jvn-cve-cvss.md | CVSSの役割(深刻度評価)を他用語と切り分けている。 |
| 十分(補助) | ISMSとは?組織で回すセキュリティ管理の仕組み【SG試験】 | pages/sg/isms.md | ISMSが管理の仕組みであることを明確化しており、誤答除外に有効。 |
| 十分(補助) | PCI DSSとは?クレジットカード情報を守る国際基準【SG試験】 | pages/sg/pci-dss.md | PCI DSSはカード業界基準である点を明示し、CVSSとの差分も記載あり。 |
| 十分(補助) | 個人情報保護マネジメントシステム(PMS)とは?【SG試験】 | pages/sg/personal-information-protection-management-system.md | PMSが個人情報保護の管理運用である点を説明。 |
3. 判定
- 既存記事で十分
4. 理由
この例題は「3基準で深刻度を評価する枠組み=CVSS」を識別できれば正答できる。
既存の cvss.md と vulnerability-information-jvn-cve-cvss.md で、
- CVSSの役割
- 基本/現状/環境の観点
- 類似用語との切り分け が揃っており、さらに ISMS/PCI DSS/PMS についても個別記事で誤答肢除去に必要な知識が補完されているため、 現時点で新規作成や大幅追記は必須ではない。
5. 具体的な対応案
既存記事に追記する場合(任意・軽微)
- 追記先の記事:
pages/sg/cvss.md - 追記する見出し:
## SG試験で選択肢を切る判断軸(CVSSと管理系用語の違い) - 追記内容の要約:
- 「評価指標(CVSS)」と「マネジメントシステム(ISMS/PMS)」「業界基準(PCI DSS)」を1表で切り分ける
- 追記すべき本文案(短文):
- 「脆弱性を数値評価する話ならCVSS。組織の管理運用ならISMS/PMS。カード情報保護の業界基準ならPCI DSS。」
新規記事を作成する場合
- 不要(既存で学習導線が成立)
まとめ記事を作成する場合
- 不要(既存の脆弱性まとめ群でカバー可能)
6. 優先度
- 低:現状でも十分。余裕があれば改善
7. 最終提案
結論: 「既存記事で十分です」