IT用語/CVSS

CVSS (Common Vulnerability Scoring System:共通脆弱性評価システム )(2014-09-23、追記:2017-03-05)


情報システムの脆弱性に対するオープンで汎用的な評価手法。
国際的な連合体であるFIRST(Forum of Incident Response and Security Teams)が管理している。

(あれ?すでに基準がv2からv3に変わってる?)

基本評価基準 (Base Metrics)

脆弱性に対する攻撃の難易度の評価。

現状評価基準 (Temporal Metrics)

脆弱性の現在の深刻度の評価。
攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出する。

環境評価基準 (Environmental Metrics)

製品利用者の利用環境も含めた、最終的な脆弱性の深刻度の評価。
攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS環境値(Environmental Score)を算出する。


いちおう、単語はおさえてみましたが(情報処理試験対策)、
私はまだ評価ポイント見て危険具合がパッと分かる域には達していません。 [worried]

ただ、脆弱性情報自体は常に追う、あるいは追う担当の人がちゃんと居るのか、確認が必要です。
日本だと JPCERT/CC とかでチェックできます。


うん、これだと味気ないので、個人の好みでもう少し追記します。

とりあえずは基本評価基準(Base Metrics)の
「AV:~/AC:~/PR:~/UI:~」 あたりの記述を見るのですが
奇しくも「AV:N」、「PR:N」、「UI:N」と、:Nだと要警戒な感じがします。

  • AV:N~ 攻撃(attack)方向(vector) で、Network経由で近づかずに攻撃できてしまう。
  • PR:N~ 権限(privileges)必要性(required) が、ない。誰でも攻撃できる。
  • UI:N~ ユーザ(User)関与(interaction) が、いらない、つまり設定変更など前準備無しで攻撃に移れる。
  • あとは、ACは攻撃(attack)複雑さ(complexity) で、AC:L だと簡単に攻撃しやすい。

気になるの選ぶとしたら、
私なら・・・Attack Vector と Privileges Required か(あ、2個選んじゃった)
遠隔から一般権限でも攻撃に参加できるなら、世界中からチャレンジャーが集まるということ、だろうか。

たまたま携わったプロジェクトの大半が「脆弱性=すぐ直せ」(優先度など、無い)だったので*1
ポイント判定は興味の範疇だったのですが、
自分の環境の特性と、各ポイントから緊急性がパッと分かると、カッコいいですね。


*1 すべての行動が優先度高、「低」などない、ともいえる。

  最終更新のRSS