CVSSとは

「Common Vulnerability Scoring System」の略で、「共通脆弱性評価システム」と呼ばれる。米国インフラストラクチャ諮問委員会(NIAC=National Infrastructure Advisory Council)で作成された脆弱性に対するオープンで汎用的な評価手法のこと。「共通」というのは、特定のベンダーに依存しない脆弱性評価システムであることを意味している。

CVSSは、以下の3つの指標で脆弱性の度合いを判断する。1.外部から攻撃されるかどうかの影響を評価する「基本評価基準」、2.攻撃コードの出現有無や、対策情報が利用可能かどうかを評価する「現状評価基準」、3.攻撃を受けた場合の2次的な被害の大きさや、組織内での対象製品の使用状況を把握する「環境評価基準」。

このCVSSによって、特定のベンダーに依存しない評価方法を確立することが可能となり、脆弱性の深刻度を同一基準で比較することができる。現在では、各評価項目の値や算出式を改善したCVSS v2が採用されており、セキュリティ関連ベンダーのみならず、DBスイッチなどを提供する企業でも標準的に活用されている。

より多くの企業が参加するようになれば、脆弱性の危険度合いをより客観的に判断できるようになる。利用者の利便性向上のために大いに役に立つことだろう。

セキュリティ用語辞典一覧ページへ

  • 「ビンラディン逮捕」偽のニュースでマルウエアに感染させるスパム
  • カテゴリートップへ
  • ファイルを人質にとるランサムウエアに新バージョンが出現との報道