では、今日も授業を始める。今日のテーマはCVSS(Common Vulnerability Scoring System)だ。
CVSSって何?
CVSS(シーブイエスエス)は、共通脆弱性評価システムだ。
共通脆弱性評価システムって何?
共通脆弱性評価システムはソフトウェアの脆弱性の深刻度を点数で表したものだ。
脆弱性が緊急なのか、注意レベルなのかをスコアで表示してるの?
うむ。ベンダーに依存しない共通の評価方法を採用している。
以下のような項目を総合的に評価してスコア(点数)が付けられる。
・どこから攻撃可能であるか
・攻撃条件の複雑さ
・攻撃前の認証要否
・業務停止の可能性
・情報改ざんの可能性
・攻撃される可能性
・利用可能な対策のレベル
・二次的被害の可能性
・影響を受ける範囲
CVSSのスコアが高いと早く対策した方がいいってことね。
以下のIPAのサイトにCVSSの計算方法が書かれているから、見てみるといい。
https://www.ipa.go.jp/security/vuln/CVSS.html
2005年6月にCVSS v1(バージョン1)が公開され、
2007年6月にCVSS v2(バージョン2)が公開され、
2015年6月にCVSS v3(バージョン3)が公開された。
よって、現在の最新バージョンは3だ。
CVSS v3の概要
は~い
では、今日はここまで。
1.CVSSはソフトウェアの脆弱性の深刻度を点数で表したもの
2.CVSSのスコアが脆弱性の深刻度の目安になる
3.CVSSのスコアが高いと早期対策した方がいい
4.2005年6月CVSS v1が公開
5.2007年6月CVSS v2が公開
6.2015年6月CVSS v3が公開