NTTデータ先端技術の「セキュリティ情報配信サービス」は、OSやソフトウエアに関する脆弱性の情報を、Webポータルやメールを介して提供するサービスである。脆弱性を悪用された際のリスク(深刻度)の指標も併せて提供する。CSIRT活動の1つである「セキュリティ関連情報収集」を支援する。
セキュリティ情報配信サービスの画面
(出所:NTTデータ先端技術)
[画像のクリックで拡大表示]
脆弱性の重要度や緊急度を共有しやすいように、システムの脆弱性における世界共通の評価指標である「CVSS Base Score」を実装した。CVSS Base Scoreを参照すれば、ベンダーや人の知識・経験に依存することなく、脆弱性の深刻度を確認できる。
背景として、サイバー攻撃から自社システムを守るためには、自社システムの脆弱性がどの程度か、どの程度緊急で対応するべきかを、情報システム部門からエンドユーザーまでが共通認識として共有する必要がある。
CVSS Base Scoreでは、システムに求められるセキュリティ特性を評価する。(1)機密性(正当なユーザーだけがアクセスできる)、(2)完全性(情報が正確である)、(3)可用性(必要な時に利用可能な状態になっている)、の3点について評価し、影響度を各項目0~10の値で表示する。
攻撃対象となるホストやシステムの単位で脆弱性の深刻度を評価する「CVSS v2」と、攻撃の実行に必要なアクセス権限レベルやユーザー関与レベルなどの評価項目を追加した「CVSS v3」の両方を提供する。例えば、ユーザーの関与レベルでは「攻撃対象のユーザーが何もしなくても攻撃可能か、あるいは特定のURLのクリックなど何かしらの行動が必要か」といったことを評価する。
セキュリティ情報配信サービスの概要
| 用途と機能 | OSやソフトウエアに関する脆弱性の情報を、Webポータルやメールを介して提供するサービス。脆弱性を悪用された際におよぶリスク(深刻度)を把握できる。CSIRT活動の1つである「セキュリティ関連情報収集」を支援する |
|---|---|
| 提供する情報の特徴 | 脆弱性の重要度や緊急度を共有しやすいように、システムの脆弱性における世界共通の評価指標である「CVSS Base Score」を実装している。CVSS Base Scoreを参照すれば、ベンダーや人の知識・経験に依存することなく、脆弱性の深刻度を確認できる |
| CVSS Base Scoreの評価 | (1)機密性(正当なユーザーだけがアクセスできる)、(2)完全性(情報が正確である)、(3)可用性(必要な時に利用可能な状態になっている)について評価し、影響度を各項目0~10の値で表示する |
| 取り扱うCVSSの情報 | 攻撃対象となるホストやシステムの単位で脆弱性の深刻度を評価する「CVSS v2」と、攻撃の実行に必要なアクセス権限レベルやユーザー関与レベルなどの評価項目を追加した「CVSS v3」の両方を提供する |
| 価格(税別) | 月額7万円 |
| 発表日 | 2019年1月25日(CVSS Base Scoreの搭載) |
| 提供開始日 | 2019年1月28日(CVSS Base Scoreの搭載) |