sg sg-security-management sg-security-overview threat_vulnerability it_security_operations
まず結論
- 脆弱性情報とは、ソフトウェアや機器に見つかった弱点について、影響、対象製品、対策方法などを知らせる情報です。
- SG試験では、JVNは情報を公表・集約する場、CVEは脆弱性の識別番号、CVSSは深刻度を評価する指標として切り分けます。
直感的な説明
脆弱性情報は、製品のリコール情報に近いイメージです。
たとえば、ある部品に不具合が見つかった場合、次のような情報が必要になります。
- どの製品が対象か
- どんな不具合があるか
- どのくらい危険か
- どう対応すればよいか
ソフトウェアでも同じです。
脆弱性が公表されたとき、組織は自分たちのシステムが影響を受けるかを確認し、必要に応じて更新や設定変更を行います。
ここで出てくる代表的な用語が、JVN、CVE、CVSSです。
- JVN:脆弱性情報を確認する場所
- CVE:脆弱性を区別するための番号
- CVSS:脆弱性の深刻度を示す点数
つまり、脆弱性情報では、どの弱点かをCVEで識別し、どれくらい危険かをCVSSで見て、JVNなどで対策情報を確認すると整理できます。
定義・仕組み
脆弱性情報には、一般に次のような内容が含まれます。
- 対象製品や対象バージョン
- 脆弱性の概要
- 悪用された場合の影響
- 回避策や修正方法
- 修正済みバージョン
- CVE番号
- CVSSスコア
代表的な関連用語は次のとおりです。
| 用語 | 役割 | 判断ポイント |
|---|---|---|
| JVN | 日本語で脆弱性対策情報を公表・提供するサイト | 情報を確認する場所 |
| JVN iPedia | 国内外の脆弱性対策情報を集約したデータベース | 検索・蓄積するデータベース |
| CVE | 脆弱性を一意に識別するための番号 | 識別番号 |
| CVSS | 脆弱性の深刻度を評価する指標 | 危険度のスコア |
JVNは、Japan Vulnerability Notesの略で、脆弱性対策情報を公表するための情報源です。脆弱性情報を確認する場合は、JVNやIPAの脆弱性対策情報が参考になります。
CVEは、Common Vulnerabilities and Exposuresの略です。
同じ脆弱性に対して、国や組織ごとに別々の名前を付けると混乱します。
そこで、CVE番号を使って「どの脆弱性の話をしているのか」を共通に識別します。
CVSSは、Common Vulnerability Scoring Systemの略です。
脆弱性の深刻度を数値などで評価し、対応の優先度を考えるために使います。IPAの共通脆弱性評価システムCVSS概説では、CVSSの考え方が説明されています。
なお、JVNでは2025年4月21日からCVSS v4による評価を開始し、CVSS v3とあわせて掲載すると案内されています。試験対策としては、バージョンの細部よりも、CVSSは深刻度を評価する指標と押さえることが大切です。
どんな場面で使う?
脆弱性情報は、システムを安全に運用するために継続的に確認します。
たとえば、次のような場面です。
- 利用中のソフトウェアに脆弱性が公表されたとき
- OSやミドルウェアの更新要否を判断するとき
- 外部ライブラリの脆弱性を確認するとき
- 委託先が利用している製品の安全性を確認するとき
- パッチ適用の優先順位を決めるとき
- インシデント発生時に既知の脆弱性との関係を調べるとき
脆弱性情報を見たときは、まず自組織に関係があるかを確認します。
たとえば、次の順で確認すると整理しやすいです。
- 対象製品を使っているか
- 対象バージョンに該当するか
- 悪用された場合の影響は何か
- CVSSなどから深刻度を確認する
- 修正プログラムや回避策を確認する
- 業務影響を考えて対応時期を決める
SG試験では、単にCVSSの点数が高いか低いかだけで判断するのではなく、自組織で使っているか、影響があるか、対応できるかまで考える視点が重要です。
よくある誤解・混同
JVN、CVE、CVSSはセットで出てくるため、役割を混同しやすいです。
| 混同しやすい用語 | よくある誤解 | 正しい理解 |
|---|---|---|
| JVN | 脆弱性そのものの番号 | 脆弱性情報を確認するサイト・情報源 |
| CVE | 危険度の点数 | 脆弱性を識別する番号 |
| CVSS | 脆弱性の名前 | 深刻度を評価する指標 |
| パッチ | 脆弱性情報 | 脆弱性を修正するプログラムや更新 |
SG試験では、次のような表現に注意します。
-
「脆弱性を一意に識別する番号」
→ CVEを疑います。 -
「脆弱性の深刻度を数値化する」
→ CVSSです。 -
「国内外の脆弱性対策情報を確認する」
→ JVNやJVN iPediaです。 -
「修正プログラムを適用する」
→ パッチ管理です。
よくあるひっかけは、CVE番号があるから危険度が分かると思うことです。
CVEは識別番号なので、それだけでは深刻度は分かりません。
危険度の目安にはCVSSを使います。
ただし、CVSSの点数だけで対応順を決めるのも危険です。
自社でその製品を使っているか、外部公開されているか、代替策があるか、業務停止の影響はどれくらいかも考える必要があります。
まとめ(試験直前用)
- 脆弱性情報は、対象製品、影響、対策方法を知らせる情報です。
- JVNは、脆弱性対策情報を確認する場所です。
- CVEは、脆弱性を一意に識別する番号です。
- CVSSは、脆弱性の深刻度を評価する指標です。
- SG試験では、JVN=情報源、CVE=番号、CVSS=深刻度で切り分けます。
確認問題
JVN、CVE、CVSSの関係として、最も適切なものはどれか。
ア. JVNは脆弱性の深刻度を数値化する指標であり、CVEは修正プログラムそのものである。
イ. CVEは脆弱性を一意に識別する番号であり、CVSSは脆弱性の深刻度を評価する指標である。
ウ. CVSSは脆弱性情報を公表する日本のサイトであり、JVNはソースコードを静的に解析する手法である。
エ. JVN、CVE、CVSSはいずれも端末を社内ネットワークへ接続してよいか判定する仕組みである。
回答と解説を表示
正解は **イ** です。 CVEは、脆弱性を一意に識別するための番号です。 CVSSは、脆弱性の深刻度を評価するための指標です。 JVNは、脆弱性対策情報を確認する情報源として整理します。 アはCVEとCVSSの役割が誤っています。 ウはJVNとCVSSの役割が入れ替わっています。 エは検疫ネットワークに近い説明であり、JVN、CVE、CVSSの説明ではありません。🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】