IPAが、新しい基準で脆弱性の評価を始めたそうな。「CVSS V3の解説」

IPAが運営する脆弱性情報サービス、JVN(Japan Vulnerability Notes)にて、脆弱性評価の指針CVSSの最新版v3での、評価が始まったとプレスリリースがされています。

共通脆弱性評価システム CVSS v3 による評価採用のお知らせ

2015年12月1日から、共通脆弱性評価システム CVSS v3 による評価を開始しました。
JVN では、CVSS v3 と CVSS v2 による評価をあわせて掲載します。

インプレスによれば、v3は「攻撃の範囲」や「重要な情報への影響」など、v2に比べて評価の方法がより現場に即したものとなりそうです。

CVSS v3 では、記述の柔軟性と一貫性の向上をはかるとともに、セキュリティ技術の変遷にも配慮して、影響範囲が直接の攻撃対象システムに留まるかどうかを分類する「スコープ」のような評価項目が追加され、また、攻撃による機密性・完全性への影響を評価する項目においては、攻撃可能な範囲ではなく、重要な情報に対する影響の有無を評価するように評価レベルが変更されています。(http://internet.watch.impress.co.jp/docs/release/20151202_733135.html)

 

なお、CVSSについてはこちらの記事v3の詳細に関してはこちらが参考となります。特に、v3とv2の違いに関しては、以下のようになっています。

共通脆弱性評価システムCVSS v3概説:IPA 独立行政法人 情報処理推進機構

 

※追記 2017/1110
CVSS v3の計算方法とスコアの見方はこちらhttps://www.leon-tec.co.jp/blog/yoshida/7689/)を参考にしてください。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています