共通脆弱性評価システムCVSS v2 評価の掲載終了、4/1 以降は CVSS v3 評価のみに
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
今回の解説ニュース
JVNでCVSS v2の掲載を終了するということです。CVSSの概要とCVSS v2とCVSS v3が併記されていた理由について説明します。
今回の発表は、JVNに掲載する共通脆弱性評価システムCVSSに関するものです。内容として、2024年4月1日以降に新規に公表するアドバイザリからは、CVSS v2の評価は掲載せず、CVSS v3の評価のみを掲載するということです。
なお、CVSS v3では、脆弱性の深刻度を評価するために、攻撃の難易度を評価する項目と、攻撃による影響を評価する項目を分けて評価する手法を採用しています。
CVSSの概要
CVSSがあることによって、ソフトウェアなどの脆弱性について、深刻度を定量的に図ることができます。
脆弱性は毎日のように公表されているため、すべての脆弱性に対応することが現実的に困難となってしまう場合があります。また、様々な組織から公開される脆弱性情報に、それぞれの基準で深刻度がつけられてしまうと、どの脆弱性が高リスクで直ちに対応すべきか判断に迷う可能性があります。
CVSSはCommon Vulnerability Scoring Systemの略で、脆弱性の深刻度を評価するための指標です。CVSSは、脆弱性の深刻度を数値化することで、セキュリティ担当者が対応に優先順位をつけることの支援をします。
CVSSは、攻撃の難易度や攻撃による影響、影響が及ぶ範囲などからスコアが割り出されます。CVSSスコアは、脆弱性の深刻度を0.0から10.0の値で示しており、10.0に近づくほど深刻度が高いことを意味します。CVSSは深刻度を数値化できるため、脆弱性の深刻度を客観的に評価できたり、異なるシステムや組織間で脆弱性を比較できたりするメリットが挙げられます。