Oracle、深刻度評価の共通指標を採用

Oracleは四半期ごとの定例パッチアップデートで、業界が定める深刻度評価指標のCommon Vulnerability Scoring Systemを採用する。

[ITmedia]

　米Oracleは10月17日に予定している次回定例パッチアップデートから、業界指標に基づく深刻度評価を公表する。パッチで対応している脆弱性がどの程度深刻なのかを顧客が見極めやすくする狙い。同社セキュリティブログで11日に明らかにした。

　Oracleが採用するのは、業界が定める深刻度評価基準の「Common Vulnerability Scoring System」（CVSS）（関連記事）。同社が四半期ごとにリリースしているパッチアップデートではこれまで、社内の独自指標に則ったリスク情報を提供していたが、顧客からの要望に応えて方針を変更した。

　標的のシステムで認証されなくてもリモートから悪用できてしまう深刻な脆弱性についてはその情報を明記する。さらに、パッチアップデートで対応した脆弱性についてIT専門家でなくても理解してもらえるよう、「平易な英語」で説明を提供する。

　ベンダーが発行するセキュリティパッチの深刻度評価は、セキュリティ担当者にとって重要な課題になっているとOracleは指摘。今回の方針変更によって、パッチアップデートで対処された脆弱性がどのくらい深刻であり、どの程度迅速に対応しなければならないかを顧客が把握しやすくなり、セキュリティに対する取り組みを強化してもらうことにつながると説明している。