コンピュータ・セキュリティ関連の非営利フォーラムのFIRST(Forum of Incident Response and Security Teams)は米国時間9月19日,世界のITコミュニティに向けてぜい弱性の深刻度を評価する「Common Vulnerability Scoring System(CVSS)」のテストへの参加を呼びかけた。CVSSは,ぜい弱性の評価方法の統一を目指すもので,FIRSTが管理を行なっている。
CVSSは,ぜい弱性によってもたらされるリスクを基本となる7つの測定基準とともに時間,環境に依存する測定基準に照らし合わせ,総合評価を割り出すオープンなシステム。米Cisco Systems,米eBay,米Internet Security Systems,米Qualysなどの業界チームが米国家インフラ諮問委員会(NIAC:National Infrastructure Advisory Council)の支援を受けて作成したもの。
CVSSプロジェクトのマネージャを務めるGavin Reid氏は,「CVSSは,複数の互換性の無い評価システムの問題を解消するものであり,誰にでも利用できて分かりやすい。フレームワークが第一世代の段階にあるため,世界のITコミュニティからの積極的な参加とフィードバックが必要である。FIRSTでは,この評価システムを使いやすいものにし,業界を超えて受け入れられるようにすることを目標としている」と述べている。
シンガポールで7月に開催された第1回目のCVSS Special Interest Group会議では,政府や企業など30を超える団体が参加した。早くから同システムを導入しているCisco Systems社,米IBM,Internet Security Systems社,Qualys社,米Unisysといったメンバーが同システムのテストを実施し,応用などについて調査検討することに合意している。
「CVSSを通じて,セキュリティ業界はぜい弱性と脅威を理解するための共通言語の作成で大きく前進した。すでに多くの組織がCVSSに取り組み,実装を始めている」(Qualys社CTOのGerhard Eschelbeck氏)
CVSSフレームワークとツールに対する評価への参加方法は,FIRSTのWebサイトに記載されている。
◎関連記事
■「2005年Q2の世界ネットワーク・セキュリティ市場,前期比4%増の10億ドル規模」,米調査
■「企業のネットワーク・セキュリティ,OSよりセキュリティ製品の脆弱性が増加」,米調査
■「2006年にVPN/ファイアウォール市場は42億ドル規模に成長」,米Infoneticsが予測
■「ITマネージャが考える2005年ネットワーク・セキュリティの脅威はスパイウエア」,米WatchGuard
[発表資料へ]
