難易度・正答率・重要度
- 難易度:★★★☆☆(用語の定義差異・最新動向による判断の揺らぎ)
- 正答率:——(全受験者を正解扱い)
- 重要度:★★★☆☆(セキュリティ標準の正確な理解が必要)
問題文
情報セキュリティ管理に関する記述の正誤の組み合わせとして、最も適切なものを下記の解答群から選べ。
a
CC(Common Criteria)とは、組織内での情報の取り扱いについて、機密性・完全性・可用性を確保するための仕組みのことである。
b
CSIRT(Computer Security Incident Response Team)とは、24時間365日体制で企業のネットワークやデバイスを監視し、インシデントの検出を行う組織のことである。
c
CVE(Common Vulnerabilities and Exposures)とは、情報セキュリティにおける脆弱性やインシデントに付与された固有の名称や番号のカタログのことである。
d
CVSS(Common Vulnerability Scoring System)とは、情報システムの脆弱性の深刻度を、基本評価基準、現状評価基準、環境評価基準の3つの基準で評価する枠組みのことである。
〔解答群〕
ア
a:正 b:正 c:正 d:誤
イ
a:正 b:正 c:誤 d:誤
ウ
a:正 b:誤 c:正 d:正
エ
a:誤 b:誤 c:正 d:正
オ
a:誤 b:誤 c:誤 d:正
出典:中小企業診断協会|2024年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解:全受験者を正解扱い
解説(全員正解となったと推測される理由)
- aの不適切さは明白だが、他選択肢に定義の曖昧さが残るため
CC(Common Criteria)は製品・システムのセキュリティ評価基準であり、組織の機密性・完全性・可用性の仕組み(ISMS)ではない。一方で、他の選択肢に曖昧・誤解の余地があり、組み合わせとして唯一解を作りづらい状況が生じた可能性が高い。 - bの「CSIRT=24/365監視」は用語の混同が起こりやすい
CSIRTは「監視組織」ではなくインシデント対応・調整の機能が中心。監視・検知は一般にSOCの職務だが、現場ではCSIRTが監視を含む運用体制と一体化しているケースもあるため、「誤」と断言しづらい曖昧表現になっている。 - cの「CVE=インシデントにもID付与」は誤りだが、語の解釈に揺れがある
CVEは脆弱性の識別子であり、インシデントには付与されない。とはいえ「Exposures(暴露)」の訳語や範囲を広く捉える教材も見られ、設問文の日本語が「インシデント」を含めたことで受験者の判断が割れた可能性がある。 - dのCVSSの評価基準はバージョン依存で解釈が割れる
CVSS v3系は「基本(Base)・現状(Temporal)・環境(Environmental)」の3評価だが、最新のv4では名称や構成が見直されている。試験実施時点の想定バージョンが明示されておらず、最新動向に基づく受験者は「誤」と判断しうるため、唯一解が崩れた可能性がある。 - 総合すると、複数選択肢に“教科書的には×だが現場では○とも言える”曖昧さが混入
b・c・dのいずれか、または複数に曖昧表現や最新仕様との差分があり、正誤組合せが一意に定まらない不備があったため、全員正解措置が妥当と判断されたと考えられる。
学習のポイント
- 用語の厳密な対応関係:
- CC=プロダクトのセキュリティ評価基準(EAL等)
- CSIRT=インシデント対応・調整(監視はSOCが中心)
- CVE=脆弱性識別子(インシデントではない)
- CVSS=深刻度スコア(v3とv4で評価軸が異なる)
- 最新仕様の確認:試験・実務ではバージョン明記の有無で解釈が変わる。出典やバージョンを都度確認して判断の再現性を高める。