IPAが新しい脆弱性評価システムに対応、より正確な指標を提供可能に

情報処理推進機構（IPA）は8月20日、共通脆弱性評価システムの新しいバージョン「CVSS v2」に移行したと発表した。

[ITmedia]

　情報処理推進機構（IPA）は8月20日、セキュリティ脆弱性の共通尺度として採用する「CVSS（Common Vulnerability Scoring System）」を、新しい「CVSS v2」に移行したと発表した。

　CVSSは、ベンダーやセキュリティ企業によって脆弱性の深刻度を測る尺度がまちまちな状況を改善する目的で、FIRST（Forum of Incident Response and Security Teams）が管理、推進する共通評価システム。IPAや脆弱性対策情報データベースであるJVN iPediaでは、届け出のあった脆弱性にCVSSを適用して、「レベル3（危険）」「レベル2（警告）」「レベル1（注意）」という3段階の深刻度評価を行っている。

　IPAは、新しいCVSS バージョン2が6月20日に公開されたことを受け、深刻度評価指標をCVSS v2に基づいたものへと移行させた。脆弱性の特性を評価するCVSS基本値が低めの値を中心に分散してしまっているv1の問題に対し、v2では脆弱性の深刻度の評価結果がレベル2を中心に分散した形になるよう評価項目値や算出式を改善、より正確な脆弱性評価ができるようになっている。