JNSA、脆弱性定量化手法の検討報告書を公開

日本ネットワークセキュリティ協会は、脆弱性を定量化する手法についてまとめた「2006年度 脆弱性定量化に向けての検討報告書」を公表した。

[ITmedia]

　日本ネットワークセキュリティ協会（JNSA）は3月26日、脆弱性の切迫度を定量化する手法についてまとめた「2006年度 脆弱性定量化に向けての検討報告書」をWebサイト上で公表した。

　この報告書は、JNSAの脆弱性定量化に向けての検討ワーキンググループがまとめたもの。脆弱性そのものを定義した上で、脆弱性発生メカニズムのモデル化を行い、それを元に数値化を試みた。さらに、このモデル図に基づいたトリアージ値（優先順位）の計算ツールの作成および検証のためのアンケートも実施している。

　同ワーキンググループ発足当初は、ベンダーがそれぞれ独自の判断に基づいて脆弱性の危険度を報告していたため、同じ危険度でも、実情が異なるケースがあったという。また、セキュリティ専門用語は経営者や一般社員にとって難解であることから、危険性を訴えてもそれが適切に伝えきれないという課題もあった。

　今回の報告書では、こうした背景から始まった取り組みをまとめている。JNSAでは、脆弱性の切迫度が「定量的な数値として示されていれば、定性的な説明文をもとに比較・判断を行うことに比べて、短時間でそれを行うことが可能であろう」としている。

　なお、同様に脆弱性を数値化する試みとしては、米NIACが進めているCVSS（Common Vulnerability Scoring System）がある（関連記事）。JNSAではCVSSについても検討を行い、基本評価基準（Base Matrics）の部分については、各ベンダー間での脅威レベルの定義の違いを吸収する役割を果たせるものだが、それ以外の現状評価基準（Temporal Metrics）や環境評価基準（Environmental Metrics）については検討の必要性があるとしている。