CVSSとは?
- 「Common Vulnerability Scoring System」の頭の文字
- 日本語だと、共通脆弱性評価システム
- 脆弱性に対するオープンで汎用的な評価手法
- ベンダーに依存しない共通の評価方法
要は、ベンダー、セキュリティ専門家、管理者、ユーザーなどの間で脆弱性に関して共通の言葉で議論できる評価手法ですよ。ということ。
3つの評価基準
CVSSは3つの基準で評価する。
基本評価基準(Base Metrics)
「脆弱性そのものの特性を評価する基準」とのこと
3つ頭文字を取ってCIAとか言われているセキュリティ特性について評価したもの
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
この評価基準は時間や環境とともに変化しない基準である。
現状評価基準(Temporal Metrics)
「脆弱性の現在の深刻度を評価する基準」とのこと
- 攻撃コードが有るか?無ないか?
- 対策情報が利用可能か?
この評価基準は “現状” とあるように時間の経過とともに変化する基準である。
環境評価基準(Environmental Metrics)
「利用者の環境を含めた深刻度を評価する基準」とのこと
- 攻撃を受けた場合の二次的な被害の大きさ
- 組織でのこのサービスの使用状況
この評価基準は利用者によって変化する基準である。
以上
コメント