※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A.攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化する。」です。
CVSS v3の現状評価基準(Temporal Metrics)は、攻撃コードの公開状況や対策の有無など、時間の経過によって変化する要素を反映する評価基準です。
この記事では、情報セキュリティマネジメント(SG)試験(令和7年度)で出題された第6問「CVSS v3の現状評価基準」について、試験対策の観点からわかりやすく解説します。
Contents
CVSS v3の評価基準
基本評価基準=時間・環境に依存しない/現状評価基準=時間で変化/環境評価基準=利用環境で変化
CVSS v3は、脆弱性の深刻度を数値化する共通評価手法です。
そのうち現状評価基準は、攻撃コードの公開状況や対策手段の整備状況など、時間の経過に伴って変化する要素を考慮します。
他の選択肢との違い
- B:利用者ごとに結果が異なるのは「環境評価基準」の説明である。
- C:時間の経過で変化しないのは「基本評価基準」の特徴である。
- D:利用環境にも時間経過にも影響されないのは「基本評価基準」の説明である。
「時間」と「利用環境」のどちらで変化するかを整理することが重要です。
問われているポイント
この問題では、CVSSの3つの評価基準の違いを正確に理解しているかが問われています。
基本・現状・環境の役割を区別して覚えましょう。
気を付けてほしい点(勘違いしやすいポイント)
- 現状評価基準は「時間」によって変化する
- 環境評価基準は「利用環境」によって変化する
補足
実務では、基本評価点に現状評価や環境評価を加味して最終的な優先度を判断します。
情報セキュリティマネジメント(SG)試験での出題パターン
脆弱性管理に関する基本用語や評価手法の違いが問われます。
定義レベルで正確に整理しておきましょう。
この知識が使われている問題
まとめ
- 現状評価基準は時間の経過によって変化する
- 基本評価基準は時間・環境に依存しない
- 環境評価基準は利用環境によって変化する