共通脆弱性評価システムとは
共通脆弱性評価システム(CVSS, Common Vulnerability Scoring System)とは、3つの基準で脆弱性の深刻さを評価するものです。
脆弱性の深刻さをメトリックに計測することが可能で、最終的に脅威に対する資産の優先順位を付けることができます。
- 基本評価基準 脆弱性そのものの特性を評価する基準
- 現状評価基準 脆弱性の現在の深刻度を評価する基準
- 環境評価基準 利用者を含め、最終的な脆弱性の深刻度を評価する基準
それぞれの標準に細かい評価項目がある
基本評価基準:脆弱性そのものの特性を評価する基準
AV :攻撃元区分 (Access Vector)
AC :攻撃条件の複雑さ (Access Complexity)
Au :攻撃前の認証要否 (Authentication)
C :機密性への影響 (情報漏えいの可能性、 Confidentiality Impact )
I :完全性への影響 (情報改ざんの可能性、 Integrity Impact )
A :可用性への影響 (業務停止の可能性、 Availability Impact )
現状評価基準:脆弱性の現在の深刻度を評価する基準
E :攻撃される可能性 (Exploitability)
RL :利用可能な対策のレベル (Remediation Level)
RC :脆弱性情報の信頼性 (Report Confidence)
環境評価基準:利用者を含め、最終的な脆弱性の深刻度を評価する基準
CDP :二次的被害の可能性 (Collateral Damage Potential)
TD :影響を受ける対象システムの範囲 (Target Distribution)
CR, IR, AR :対象システムのセキュリティ要求度(Security Requirements)
あるオークション会場で
おやじ気をつけろ。奴は他人の能力を盗む。
他人の念を盗むか、特質じゃな。もし盗んだ能力を自在に使えるとすれば、脅威じゃな(基本)。
だがそれは盗む際のリスクの高さを意味する。でなければ、それだけの能力は得られまい。4つや5つ、盗むまでにクリアせねばならない条件があると見た(現状)。
ワシら二人と闘いながら、その条件をクリアするのは至難 (環境) 。 つまりワシらの能力が戦いの最中に盗まれることは、まずあるまい。 毒ナイフの威嚇が良い証拠じゃ。