HOME情報セキュリティ情報セキュリティ対策脆弱性対策共通脆弱性評価システムCVSSの新バージョンの公開について

本文を印刷する

情報セキュリティ

共通脆弱性評価システムCVSSの新バージョンの公開について

最終更新日 2007年8月20日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(東京都文京区、理事長:藤原 武平太、略称:IPA)は、ソフトウェア製品の脆弱性の深刻度評価に共通脆弱性評価システムCVSSを適用しています。この度、コンピュータセキュリティに関する国際フォーラムFIRST(Forum of Incident Response and Security Teams)から6月20日にCVSSのversion 2が公表されたのに合わせ、その概説資料をIPAのウェブサイトで公開しました。IPAはCVSSの適用推進や仕様改善の活動に参画しており、今後、CVSS v2に順次移行していく予定です。(2007年8月20日にCVSS v2へ移行しました。)

 IPAは、ソフトウェア製品の脆弱性の深刻度評価にCVSSを適用しており、脆弱性対策情報の公表ページでCVSS基本値の評価結果を公表しています。2007年2月22日の公表開始後、脆弱性対策情報の公表ページのアクセス件数が倍増するなど、多くの方々に活用されています。また、2007年4月25日から公開している脆弱性対策情報データベース JVN iPedia でもCVSS基本値を公表しています。

 CVSSは、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の枠組みで議論できるようになります。CVSSは、FIRSTのCVSS-SIG(Special Interest Group)が管理母体となりversion 1が2005年6月に公開されました。

 IPAは、脆弱性関連情報の届出受付を行っており、届出られた脆弱性についてCVSS v1を適用して深刻度評価を行っています。FIRSTのCVSS-SIGにも参画し、CVSS計算ソフトウェアの多国語版の提供やCVSS評価結果が特定の値に集まる傾向がある点について問題提起するなど、適用推進や仕様改善の活動を行ってきました。また、情報処理学会のコンピュータセキュリティシンポジウム2006や2007年3月の全国大会で、CVSSの適用状況を発表するなど、普及活動も実施してきました。

 この度、スペインで開催されているFIRST年会議で6月20日にCVSSのversion 2が公表されたのに合わせ、その概説資料をIPAのウェブサイトで公開しました。

■ 共通脆弱性評価システムCVSS概説

http://www.ipa.go.jp/security/vuln/CVSS.html

CVSS v2では、主に次の点が改善されました。

  • (1) 基本評価基準(Base Metrics)の評価項目「攻撃元区分(Access Vector)」、「攻撃条件の複雑さ(Access Complexity)」、「攻撃前の認証要否(Authentication)」、および、環境評価基準(Environmental Metrics)の「二次的被害の可能性(Collateral Damage Potential)」の評価内容がそれぞれ1つ増加し、より細分化した評価が可能になりました。
  • (2) 基本評価基準の評価項目「C、I、Aの重み(Impact Bias)」が、環境評価基準の「対象システムのセキュリティ要求度(Security Requirements)」に移動し、対象システム毎に、その要求されるセキュリティ特性を考慮した評価が可能になりました。
  • (3) 評価結果が特定の値に集中しないように、CVSS値の計算方法が改善されました。

 IPAでは、今後、CVSS v2に順次移行していく予定です。(2007年8月20日にCVSS v2へ移行しました。)

 今後も製品利用者やSI事業者が脆弱性への対応を検討する際や、製品開発者が開発段階からセキュリティ品質を作り込む際の一助となれば幸いです。

(参考)

(旧版)

■問合せ先

独立行政法人 情報処理推進機構
セキュリティセンター 情報セキュリティ技術ラボラトリー
E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2007年8月20日 CVSS v2に移行した旨、追記しました。
2007年6月21日 掲載