Oracle、深刻度評価の共通指標を採用
Oracleは四半期ごとの定例パッチアップデートで、業界が定める深刻度評価指標のCommon Vulnerability Scoring Systemを採用する。 米Oracleは10月17日に予定している次回定例パッチアップデートから、業界指標に基づく深刻度評価を公表する。パッチで対応している脆弱性がどの程度深刻なのかを顧客が見極めやすくする狙い。同社セキュリティブログで11日に明らかにした。 Oracleが採用するのは、業界が定める深刻度評価基準の「Common Vulnerability Scoring System」(CVSS)(関連記事)。同社が四半期ごとにリリースしているパッチアップデートではこれまで、社内の独自指標に則ったリスク情報を提供していたが、顧客からの要望に応えて方針を変更した。 標的のシステムで認証されなくてもリモートから悪用できてしまう深刻な脆弱性についてはその情
脆弱性の深刻さ測る「共通語」の策定進む
共通のものさしを用いてどの脆弱性がどのくらい深刻なのかを示し、対応の優先順位付けを支援するための指標作りが進められている。 パッチの適用は基本的なセキュリティ対策の1つだ。しかし、組織的なパッチ管理を実施するうえで、1つ問題が生じる。果たしてその脆弱性がどのくらい深刻であり、どの程度迅速に対処しなければならないかを把握する客観的なものさしが存在しないことだ。 管理者としては、脆弱性の深刻さをシステムのアベイラビリティや互換性といった要素と突きあわせ、適用のタイミングを決定することになる。しかし、たとえばMicrosoftは4段階で脆弱性をランク付けし、セキュリティ企業のSecuniaでは5段階で評価を行うといった具合に、企業によって深刻さの尺度はまちまちだ。 Cisco Systemsのマイク・シフマン氏は、RSA Conference 2005で行ったセッションにおいて、この問題を解決す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
