CVSSの新バージョン発表、脆弱性共通指標の精度向上図る

脆弱性の深刻さを測る共通尺度、CVSSのバージョン2が発表された。

[ITmedia]

　脆弱性の深刻さを測る共通の尺度として使われているCVSS（Common Vulnerability Scoring System）の新バージョンが6月20日、発表された。

　CVSSは、ベンダーやセキュリティ企業によって脆弱性の深刻度を測る尺度がまちまちな状況を改善し、共通指標を導入する目的で2005年2月に提唱された。米国立標準技術研究所（NIST）などの政府機関に採用され、ベンダーのアドバイザリーにも利用されている。

　バージョン2は、専門家らで組織するCVSS-SIG（Special Interest Group）が2006年から2007年にかけて実際の脆弱性でテストを繰り返して策定。CVSSを管理しているセキュリティ団体のFIRST（Forum of Incident Response and Security Teams）と共同で発表した。

　改定に当たっては、現行バージョンをめぐってベンダーやセキュリティ専門家から寄せられた意見を反映。矛盾を解消して情報の精度を高め、多様な脆弱性をもっと正確に反映できるようにしたと説明している。