CVSSでぜい弱性を評価してみよう
先日,顧客との雑談の中で「CVSSとは?」という質問を受けた。エックスフォースのセキュリティアラートを読んで目に付いたそうだ。CVSSは多くの組織で採用されているので,見聞きしたことがある読者もいることと思う。2007年6月にはCVSSの新バージョンが公表された。今回はCVSSによるぜい弱性評価について解説しよう。 CVSSとは CVSSとはCommon Vulnerability Scoring Systemの略で,コンピュータ・セキュリティの非営利団体「FIRST」(Forum of Incident Response and Security Teams)が推進する,ぜい弱性評価システムである。日本語では共通ぜい弱性評価システムと訳され,IPA(情報処理推進機構)もぜい弱性情報の評価に利用している。「共通」は,ベンダーに依存しない共通のぜい弱性評価システムであることを意味している。ユ
IPA、ソフトなどのセキュリティ上の脆弱性深刻度評価を開始
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人の情報処理推進機構(IPA)は2月22日、「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、ソフトなどのセキュリティ上の脆弱性の深刻度を、「共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)」を用いて評価する試行を開始した。 今回開始された脆弱性の深刻度評価は、製品利用者やシステムインテグレーション事業者の脆弱性関連情報の分析・適用を支援するためのもので、現在、2006年10月以降に公表した脆弱性関連情報約40件について深刻度を公表している。 CVSSは、国際的な団体「FIRST(Forum of Incident Response and Securi
ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ソフトウェア等におけるセキュリティ上の弱点(脆弱性)の深刻度をCVSS基本値を用い評価する試行を開始しました。 脆弱性の深刻度評価は、「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、製品利用者やSI事業者の脆弱性関連情報の分析・適用を支援するため開始しました。 現在、公表済みの脆弱性関連情報約140件について深刻度を公表しています。また、今後公表する脆弱性関連情報には、その都度深刻度もあわせて公表いたします。 脆弱性の深刻度は、FIRST(Forum of Incident Response and Security Teams)の場で適用推進や仕様改善が行われている、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を適用しています。 CVSSは
IPAがソフトウエアのぜい弱性評価にCVSSを採用,深刻度をWebで公開
情報処理推進機構(IPA)セキュリティセンターは2月22日,ソフトウエアなどのぜい弱性の評価に「CVSS」を採用すると発表した。CVSSは「Common Vulnerability Scoring System」の略で,コンピュータ・セキュリティの非営利団体「FIRST」(Forum of Incident Response and Security Teams)が推進する,ぜい弱性評価システムのこと。IPAはCVSSを採用することで,「ぜい弱性の深刻度を同一基準で定量的に比較できるようになる」としている。 IPAでは,CVSSで定義されている三つの評価基準のうち,ぜい弱性自体の特性を評価する「基本評価基準」(Base Metrics,CVSS基本値と呼ぶ)を算出してWebで公開する。CVSS基本値は攻撃元の区分や攻撃条件の複雑さ,影響度などから0.0~10.0の値で表記する(算出方法の詳
脆弱性の深刻さ測る「共通語」の策定進む
共通のものさしを用いてどの脆弱性がどのくらい深刻なのかを示し、対応の優先順位付けを支援するための指標作りが進められている。 パッチの適用は基本的なセキュリティ対策の1つだ。しかし、組織的なパッチ管理を実施するうえで、1つ問題が生じる。果たしてその脆弱性がどのくらい深刻であり、どの程度迅速に対処しなければならないかを把握する客観的なものさしが存在しないことだ。 管理者としては、脆弱性の深刻さをシステムのアベイラビリティや互換性といった要素と突きあわせ、適用のタイミングを決定することになる。しかし、たとえばMicrosoftは4段階で脆弱性をランク付けし、セキュリティ企業のSecuniaでは5段階で評価を行うといった具合に、企業によって深刻さの尺度はまちまちだ。 Cisco Systemsのマイク・シフマン氏は、RSA Conference 2005で行ったセッションにおいて、この問題を解決す
IT大手、脆弱性深刻度評価の標準化システムで協力
CiscoやMSなどのIT大手が、ソフトの脆弱性の深刻度評価の標準化のため、新システムを発表した。(IDG) Cisco Systems、Microsoft、Symantecなどの大手IT企業が、ソフトの脆弱性の深刻度評価を標準化するレーティングシステム推進に当たる。 この新システム「Common Vulnerability Scoring System」(CVSS)の計画は2月17日、米サンフランシスコで開催のRSA Conferenceで披露された。広く採用されれば、コンピュータセキュリティの深刻度について記述する共通の言語が提供され、ベンダーごとに異なるレーティングシステムの代替になると、Cisco研究者のマイク・シフマン氏はプレゼンの中で説明した。 同システムは、脆弱性に関する情報公開の世界的なフレームワーク構築を目指すNational Infrastructure Advisor
JVNRSS: CVSS
CVSS (Common Vulnerability Scoring System) [1][2][3][4] は、 脆弱性そのものの特性を評価する基準 (基本評価基準: Base Metrics)、 攻撃コードの出現有無や対策情報が利用可能であるかといった脆弱性の現在の深刻度を評価する基準 (現状評価基準: Temporal Metrics) 、 攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準 (環境評価基準: Environmental Metrics) を用いて脆弱性の深刻度を包括的かつ汎用的に評価する手法です。 [1] FIRST Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss/ [2] NIST: National Vulnerability Da
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、ソフトウェアの脆弱性深刻度を公表
http://www.packetfactory.net/papers/CVSS/
HITACHI:セキュアプラザ 米国最新セキュリティ動向(2)
http://wani.bbsnavi.net/trenjac/nvd.nist.gov/cvss.cfm