sg sg-security-management threat_vulnerability
まず結論
- CVSSは対応優先度を決める重要指標ですが、スコアだけで最終判断はしません。
- SG試験では、CVSSに加えて資産重要度・公開有無・悪用可能性・代替策の有無を見て優先順位を決める考え方が問われます。
- 「高スコア=常に最優先」と短絡せず、業務影響と攻撃現実性を合わせて判断するのがポイントです。
直感的な説明
CVSSは、病院でいう「重症度スコア」に近い考え方です。
ただし、実際の治療順は、重症度だけでなく「今すぐ命に関わるか」「他患者への影響が大きいか」も見て決めます。
脆弱性対応も同じで、CVSSは軸の1つです。
実務と試験では、スコア × 業務影響 × 悪用されやすさで優先順位を考えます。
定義・仕組み
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を共通尺度で表す仕組みです。
ただし、運用上の優先順位は次の観点も加味して決めます。
- 対象資産の重要度(基幹系・公開系・個人情報取扱いなど)
- 外部から到達可能か(インターネット公開の有無)
- 既知の悪用コードがあるか
- 代替策(アクセス制限・機能停止・監視強化)が可能か
- パッチ適用時の業務停止リスク
どんな場面で使う?
- 脆弱性情報を受け取った後の一次トリアージ
- 限られた保守時間での適用順序決定
- 管理層への報告時の説明根拠
- SG試験のケース問題での最適な対応順序の判断
よくある誤解・混同
-
誤解1:CVSSが高いものは常に最優先
→ 実際は「公開サーバか」「悪用容易か」「暫定対策が効くか」で順序が変わる。 -
誤解2:CVSSが低いものは後回しでよい
→ 基幹業務で悪用されると影響が大きく、先に対応すべき場合がある。 -
誤解3:優先順位づけ=技術者だけの判断
→ 業務部門・運用部門と調整し、停止影響も含めた意思決定が必要。
確認問題(SG試験対策)
次のうち、CVSSを用いた脆弱性対応の優先順位づけとして、最も適切なものはどれか。
ア. CVSS基本値が最も高い脆弱性だけを即時対応し、公開有無や業務影響は考慮しない。
イ. CVSS基本値に加え、対象サーバの公開有無、業務影響、悪用可能性を踏まえて対応順を決める。
ウ. CVSS基本値が7.0未満なら、どの資産でも対応不要と判断する。
エ. CVSSは参考にならないため、現場担当者の経験だけで対応順を決める。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:不適切。CVSS単独で判断すると、実被害の大きさを見誤る。
- イ:適切。CVSSを軸にしつつ、公開有無・業務影響・悪用可能性を加味するのが実務的。
- ウ:不適切。閾値だけで機械的に除外すると、重要資産のリスクを見落とす。
- エ:不適切。経験は重要だが、客観指標(CVSS)を併用して説明可能性を確保すべき。
👉 判断ポイント
「CVSSは優先順位づけの土台。最終順序は業務影響と悪用現実性で調整する。」
まとめ(試験直前用)
- CVSSは深刻度の共通尺度だが、優先順位の最終決定はそれだけではない。
- SG試験では、公開有無・重要資産・悪用可能性・暫定対策の有無を併せて見る。
- 選択肢では「スコアだけ」「経験だけ」の極端な判断を避ける。
- 実務に近い選択肢は、複数観点で説明できるものが正解になりやすい。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】