皆さん、こんにちは。はしまさです。
CVCCって知ってますか?
私は知りませんでした。無知です。
ということで、そんな私みたいな方に向けて、CVSSについて少し触れたいと思います。
CVSSとは?
CVSSとは、なんの略なのか。
それは、Common Vulnerability Scoring Sytemの略です。
つまり、日本語似直すと、共通脆弱性評価システムとなります。
セキュリティの脆弱性の深刻度を評価するために標準化されたフレームワークの一つで、脆弱性の重要度を数値化し、それに基づいて適切な対応措置を決定するのに使います。
脆弱性の重大度を主要なメトリクス(Base,Temporal,Environmental)に分割できます。
1.Base Metrics(基本メトリクス)
Attack Vector(攻撃ベクトル)とは、攻撃者が脆弱性を悪用するためのアクセス方法です。
例えば、ローカル、ネットワーク、物理的なアクセスなどを指します。
Attack Complexity(攻撃の複雑さ)とは、攻撃者が脆弱性を悪用するために必要な条件や前提条件の複雑さのことです。
Privileges Required(必要な特権レベル)とは、攻撃者が悪用するために必要な特権のレベルのことです。
User Interaction(ユーザーとのインタラクション)とは、ユーザーの関与が攻撃にどの程度必要かということです。
Scope(スコープ)とは、脆弱性の影響範囲を示しています。
2.Temporal Metrics(時間経過メトリクス)
Exploit Code Maturity(悪用コードの成熟度)とは、攻撃ツールや脆弱性を悪用するためのコードの成熟度のことです。
Remediation Level(是正レベル)とは、脆弱性を修正するための利用可能な解決策の成熟度のことです。
Report Confidence(報告の信頼性)とは、脆弱性の存在やその影響に関する報告の信頼性のことを行っています。
3.Environmental Metrics(環境メトリクス)
Collateral Damage Potential(副次的被害の可能性)とは、脆弱性が悪用された場合の追加の影響や被害の可能性のことです。
Target Distribution(対象の分散)とは、脆弱性が影響を及ぼすシステムの数や重要性のことです。
Security Requirements(セキュリティ要件)とは、組織のセキュリティ要件に基づく脆弱性の影響度のことです。
以上、これらのメトリクスは、0から10の範囲でスコア化され、高いスコアはより深刻な脆弱性を示します。
以上が、CVSSについての話でした。
いかがでしたか?
セキュリティに関する知識をつけるために、1つCVSSについて学びました。
これを機会に他のセキュリティに関するキーワードもぜひ確認してみてください。
では!
