CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は情報システムの脆弱性に対する汎用的な評価手法です。
CVSSを使用することで脆弱性の深刻度を同じ基準で定量的に比較することが可能になります。
CVSSには3つの基準があり、0.0~10.0で評価します。
基本評価基準(Base Metrics)
脆弱性自体の深刻度を評価する指標です。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などから算出されます。
基本評価基準の特徴として時間の経過や、利用者の環境で変化しないというものがあります。
現状評価基準(Temporal Metrics)
現時点での脆弱性の深刻度を評価する基準となります。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出されます。
現状評価基準は時間の経過によって変化する特徴があります。
環境評価基準
最終的な脆弱性の深刻度を評価する基準です。これには製品利用者の利用環境も含まれます。二次被害の可能性や影響を受ける範囲などの項目から算出されます。
環境評価基準は製品利用者ごとに変化します。
コメントを残す