CVSS、共通脆弱性評価システムって?

ちょっと必要にせまられて調べてみました。

ことの始まりは仕事で係わっているアプリケーションに脆弱性が指摘されているという話から。

単に「脆弱性」があるらしいと言う情報だけで、実体がよく分らないので、米国Cybersecurity&Infrastructure Security Agency(サイバーセキュリティー・インフラセキュリティー庁、以下CISA)に詳しいレポートが載っていました。

https://www.cisa.gov/uscert/ics

この組織、米国のインフラで使われるツールに関して、サイバー攻撃への対策等を行う組織のようです。

いかにも米国っぽい役所ですね。このレポートを受けてか、問題のアプリケーションはすでに対策済みでした。

CISAについては、国会図書館のサイトで公開されて資料が分かり易い。

【アメリカ】サイバーセキュリティー・インフラセキュリティー庁設置

CVSS

それはそうと、レポートにはCVSS(Common Vulnerability Scoring System)という項目があります。いままで知りませんでしたがセキュリティの深刻度を測る基準のようです。(詳しくはIPAの「共通脆弱性評価システムCVSS概説」の解説が分かり易い)

図は評価ツールを実行した画面ですが、3つの評価基準と、さらにそれぞれの詳細な評価項目が用意されています。

それぞれ、項目を選ぶと評価値が変化します。(図では右上の「6.1」という数字が評価値)

この例だと割と高めですね。それなりに深刻な脆弱性だったのかも知れません。

CVSSの実行例

CVSS計算ソフトウェア多国語版

上述のIPAのページを辿ったら、CVSSの多言語版へのリンク用意されていました。日本語版もあるので、なにかあったら役に立つかも?


コメントを残す

メールアドレスが公開されることはありません。