SG 脆弱性管理｜過去問題形式で9問

情報セキュリティマネジメント試験「脆弱性の概念と管理プロセス・脆弱性診断・パッチ管理・CVE/CVSS・ゼロデイ・セキュリティ情報の収集」の練習問題9問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。

Q1. セキュリティでいう「脆弱性」の説明として、もっとも適切なものはどれですか？

A. ソフトウェアや仕組みに存在する、攻撃に悪用されうる弱点や欠陥のこと

B. 情報資産に損害を与える原因となる、外部からの攻撃そのもののこと

C. 処理速度が速く、効率よく動作しているシステムの状態のこと

D. データを暗号化して、第三者に読まれないように守る技術のこと

回答

解説

正解は「A」です。

脆弱性 は、ソフトウェアや仕組みに潜む 攻撃に悪用されうる弱点・欠陥 を指します。整理すると、損害を与える原因が「脅威」、その弱点が「脆弱性」、脅威が脆弱性を突いて実際に被害が出る可能性が「リスク」という関係です。家にたとえると、泥棒が「脅威」、鍵のかかっていない窓が「脆弱性」にあたります。脆弱性管理 は、この弱点を見つけて計画的にふさいでいく取り組みです。

B は「脅威」の説明、C・D は脆弱性とは無関係の説明で、いずれも本問の答えではありません。

リスクマネジメントとは？進め方をやさしく解説を見る

Q2. 脆弱性管理のプロセスとして、もっとも適切なものはどれですか？

A. 一度すべての脆弱性を直したら、その後は何も確認しなくてよい

B. 見つかった脆弱性は、重要度に関係なくすべて同じ順番で対応すればよい

C. 脆弱性の把握・評価・対応・確認を繰り返し行い、継続的に弱点を減らしていく

D. 脆弱性は攻撃を受けてから初めて調べ、それまでは特に管理しない

回答

解説

正解は「C」です。

脆弱性管理 は、自組織にどんな弱点があるかを 把握し、危険度を 評価し、修正プログラムの適用などで 対応し、直ったかを 確認する という流れを 繰り返す 取り組みです。新しい脆弱性は次々と見つかるため、一度きりではなく 継続的なサイクル として回す点が重要です。健康診断を定期的に受け続けるのと同じ考え方です。

A は一度きりで終える誤り、B は危険度を考えない非効率な対応、D は後手に回る対応で、いずれも適切ではありません。

インシデント対応とは？発生時の流れをやさしく解説を見る

Q3. 脆弱性診断とペネトレーションテストの違いとして、もっとも適切なものはどれですか？

A. どちらも同じ作業で、呼び名が違うだけで内容に差はない

B. 脆弱性診断は弱点を網羅的に洗い出し、ペネトレーションテストは実際に侵入を試して悪用できるか検証する

C. 脆弱性診断は侵入を試す作業で、ペネトレーションテストは弱点の一覧を作る作業である

D. どちらも本番システムを必ず停止させてからでないと実施できない

回答

解説

正解は「B」です。

脆弱性診断 は、システムにある弱点を 幅広く洗い出して一覧にする 作業です。一方 ペネトレーションテスト（侵入テスト）は、見つかった弱点を使って 実際に侵入できるかを試し、どこまで悪用されうるかを検証する作業です。診断が「健康診断で悪いところを探す」なら、ペネトレーションテストは「その弱点が本当に危ないか踏み込んで確かめる」イメージです。

A は両者を同一とする誤り、C は説明を取り違え、D は事実と異なる説明で、いずれも本問の答えではありません。

ファイアウォール・IDS・IPSとは？役割の違いを解説を見る

Q4. パッチ管理（セキュリティアップデート運用）として、もっとも適切なものはどれですか？

A. 修正プログラムは動作が不安になるので、できるだけ適用しない方がよい

B. 提供された修正プログラムは、検証せず本番環境へすぐに当てるのが常に最善である

C. サポートが終了した古いソフトでも、使い続けていれば安全は保たれる

D. 公開された修正プログラムを把握し、影響を確かめたうえで計画的に適用する

回答

解説

正解は「D」です。

パッチ管理 は、提供された 修正プログラム（パッチ）を把握し、自組織への 影響を確認したうえで、優先度を決めて 計画的に適用していく 運用です。脆弱性を放置すると攻撃の入り口になるため、適用は基本的に速やかに行います。一方で、当てた直後に不具合が出ないよう 事前の検証 も大切で、両者のバランスをとるのが運用のポイントです。

A は脆弱性を放置する誤り、B は検証を省く危うい運用、C はサポート終了ソフトの危険性を見落とした誤りで、いずれも適切ではありません。

マルウェアとは？種類と感染経路をやさしく解説を見る

Q5. CVE（共通脆弱性識別子）の説明として、もっとも適切なものはどれですか？

A. 個別の脆弱性に一意の番号を割り当て、世界共通で参照できるようにした識別子

B. 脆弱性の深刻度を点数で表すための評価基準そのもの

C. 攻撃者が使うマルウェアの一種を指す呼び名

D. 利用者のパスワードを安全に保管するための暗号方式

回答

解説

正解は「A」です。

CVE（共通脆弱性識別子） は、世の中で見つかった個々の脆弱性に 一意の番号（CVE 番号）を割り当て、誰もが同じ脆弱性を 同じ名前で参照できる ようにした識別の仕組みです。本のISBN番号のように、「どの脆弱性の話か」を取り違えずに共有できます。なお、深刻度を点数で表す評価のしくみは、別の CVSS が担当します。

B は CVSS の説明、C・D は CVE とは無関係の説明で、いずれも本問の答えではありません。最新の定義は公式資料を確認してください。

リスクマネジメントとは？進め方をやさしく解説を見る

Q6. CVSS（共通脆弱性評価システム）の説明として、もっとも適切なものはどれですか？

A. 脆弱性に固有の番号を割り当てて、世界共通で参照するための識別子

B. 脆弱性を修正するための修正プログラムを自動で配布する仕組み

C. 脆弱性の深刻度を共通の基準で評価し、点数で表すための仕組み

D. 不正アクセスを検知して管理者へ通報するための装置

回答

解説

正解は「C」です。

CVSS（共通脆弱性評価システム） は、脆弱性の 深刻度を共通のものさしで評価し、おおむね 0.0〜10.0 の 点数（スコア）で表す 仕組みです。点数が高いほど深刻とされ、どの脆弱性から優先して対応すべきかを判断する手がかりになります。番号で「どの脆弱性か」を表すのが CVE、その深刻度を「点数」で表すのが CVSS と覚えると整理しやすいです。

A は CVE の説明、B はパッチ配布、D は侵入検知装置の説明で、いずれも本問の答えではありません。最新の基準は公式資料を確認してください。

リスクマネジメントとは？進め方をやさしく解説を見る

Q7. ゼロデイ脆弱性に関する説明として、もっとも適切なものはどれですか？

A. すでに修正プログラムが配布され、対策が完了している脆弱性のこと

B. 修正プログラムがまだ提供されていない段階の脆弱性で、対策が間に合わないまま悪用されうる

C. 発生してから必ず10日後に修正される、と決まっている脆弱性のこと

D. 攻撃の被害がまったく出ないことが保証された、安全な脆弱性のこと

回答

解説

正解は「B」です。

ゼロデイ脆弱性 は、修正プログラムがまだ提供されていない段階 の脆弱性です。これを突く攻撃が ゼロデイ攻撃 で、防御側に対策の準備期間（修正までの日数）が残されていないことから、こう呼ばれます。修正が出るまでの間は、通信の制限や監視の強化など 暫定的な回避策（緩和策） で被害を抑える対応が求められます。

A は対策済みとする誤り、C・D は事実と異なる説明で、いずれも本問の答えではありません。

標的型攻撃とは？特徴と対策をやさしく解説を見る

Q8. 脆弱性に関する情報収集として、もっとも適切なものはどれですか？

A. 出どころの不明なうわさや書き込みだけを根拠に、対応を決めればよい

B. 脆弱性情報は外部に頼らず、社内で気づいたものだけを管理すればよい

C. いったん集めた情報があれば、その後は新しい情報を確認しなくてよい

D. JVNなどの公的な脆弱性情報サイトや製品ベンダの発表を、日頃から確認する

回答

解説

正解は「D」です。

脆弱性へ早く対応するには、信頼できる情報源を日頃から確認する ことが欠かせません。日本では、JPCERT/CC と IPA が共同運営する JVN（脆弱性対策情報ポータル） が代表的で、ほかに各製品 ベンダの公式発表 も重要な情報源です。自組織で使っている製品に関係する情報を継続的に集め、必要な対応につなげます。

A は出どころ不明な情報に頼る誤り、B は公的情報を無視する誤り、C は継続確認を怠る誤りで、いずれも適切ではありません。

インシデント対応とは？発生時の流れをやさしく解説を見る

Q9. 利用しているソフト部品（OSS等）の脆弱性管理として、もっとも適切なものはどれですか？

A. 自社が組み込んだ外部の部品やライブラリも対象に含めて、脆弱性を継続的に把握する

B. 外部から取り込んだ部品は提供元の責任なので、自社では一切確認しなくてよい

C. 一度組み込んだ部品は、新しい脆弱性が見つかっても更新する必要はない

D. どんな部品を使っているか把握しなくても、脆弱性管理には影響しない

回答

解説

正解は「A」です。

近年のソフトウェアは、外部の 部品やライブラリ（OSS など）を組み合わせて 作られることが多く、その部品に脆弱性が見つかると自社のシステムにも影響します。そのため、どんな部品を使っているかを把握し、それらの 脆弱性も継続的に管理して更新する ことが大切です。これは取引先や供給網の弱点を狙う サプライチェーン攻撃 への備えにもつながります。

B・C・D はいずれも外部部品の脆弱性を見落とす危うい考え方で、適切ではありません。

サプライチェーン攻撃とは？仕組みと対策をやさしく解説を見る

試験全体の流れを俯瞰したい時は、情報セキュリティマネジメント試験試験全体概要に戻れます。

学習の全体像と次に進む分野は、情報セキュリティマネジメント試験学習ロードマップで確認できます。