情報処理推進機構(IPA)セキュリティセンターは2月22日,ソフトウエアなどのぜい弱性の評価に「CVSS」を採用すると発表した。CVSSは「Common Vulnerability Scoring System」の略で,コンピュータ・セキュリティの非営利団体「FIRST」(Forum of Incident Response and Security Teams)が推進する,ぜい弱性評価システムのこと。IPAはCVSSを採用することで,「ぜい弱性の深刻度を同一基準で定量的に比較できるようになる」としている。
IPAでは,CVSSで定義されている三つの評価基準のうち,ぜい弱性自体の特性を評価する「基本評価基準」(Base Metrics,CVSS基本値と呼ぶ)を算出してWebで公開する。CVSS基本値は攻撃元の区分や攻撃条件の複雑さ,影響度などから0.0~10.0の値で表記する(算出方法の詳細はIPAのサイトを参照)。
ただし,単純にCVSS基本値を公開するだけでは分かりにくいため,米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が採用するレベル分け「NVD Common Vulnerability Scoring Support」を参考に,(1)レベルIII(危険),(2)レベルII(警告),(3)レベルI(注意)の3段階でぜい弱性の深刻度を示す。
(1)はCVSS基本値が7.0~10.0で,リモートからシステムを制御されたり,データの大部分を改ざんされたりする脅威,(2)はCVSS基本値が4.0~6.9で,重要な情報が漏えいしたり,サービスの停止につながったりする脅威,(3)はCVSS基本値が0.0~3.9で,システムの一部に被害が発生したり,攻撃の実現に複雑な条件を必要とする脅威,をそれぞれ指している。IPAは今回の発表に伴い,2006年10月以降に公表したぜい弱性関連情報約40件についてCVSS基本値を算出し,Webで公表した。
なおCVSS基本値は,ユーザー企業がぜい弱性への対応を決めるための一つの基準に過ぎない。本来は基本評価基準に加え,パッチの提供状況や攻撃コードの出現の有無などによって現状の深刻度を評価する「現状評価基準」(Temporal Metrics,CVSS現状値)を参照した上で,自社への影響範囲に基づいて「環境評価基準」(Environmental Metrics,CVSS環境値)を算出し,これらの評価結果を総合してユーザー企業が最終的に判断する必要がある。海外では一部のセキュリティ・ベンダーがCVSS現状値を公開しており,国内でも同様な取り組みが期待される。
