「VISS」はCVSSとどう違う？ ZVCが新たな脆弱性評価フレームワークを公開：セキュリティニュースアラート

ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System（VISS） version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。

[後藤大地，有限会社オングス]

　Zoom Video Communications（以下、ZVC）は2023年12月15日（現地時間）、コンピュータシステムのインフラストラクチャや技術スタック、保護されたデータなどに対する脆弱（ぜいじゃく）性の影響を評価するためのオープンでカスタム可能なフレームワーク「Vulnerability Impact Scoring System（VISS） version 1.0.0」を公開した。

ZVCはVISS version 1.0.0を公開した（出典：ZVCのWebサイト）

ZVCが新たな脆弱性評価フレームワーク「VISS」を公開　その特徴は？

　VISSは脆弱性を異なる13の観点で分析し、プラットフォームやインフラストラクチャ、データに特有の影響グループに分類する。計算値は0から100までのスコアとして算出される他、補償コントロール指標を適用することで変更できる。

　VISSで算出されるスコア値と評価の主な関係は以下の通りだ。

• なし（None）：　0〜9
• 低（Low）：　9.01〜39
• 警戒（Medium）：　39.01〜69
• 重要（High）：　69.01〜89
• 緊急（Critical）：　89.01〜100

　コンピュータシステムなどの脆弱性を評価するスコアリングシステムとしては共通脆弱性評価システム（CVSS）が最も広く普及している。CVSSは国際的なセキュリティ事故対応チームによって協議および策定されており、スコアリングシステムの中ではデファクトスタンダードのポジションにある。

　CVSSはサイバー攻撃者の視点から主観的に脆弱性を評価し、最悪の影響を想定するといった考え方に基づいているが、VISSは防御者の視点から実際に示されたリスクのみを考慮する。生成される数値スコアは与えられた環境内での相対的な影響の深刻度を示している。このためVISSはCVSSの代替として使うというものではなく、異なる視点から補完的な評価システムとして使うことが意図されている。

　VISSに関する全ての権利や利益はZVCが保有しているが、条件に従う場合は一般に無料で使用するライセンスが提供されている。

　VISSのように特定のベンダーが策定したスコアリングシステムシステムは他にも存在しているが、CVSSほどは普及していない。特定のベンダーが作成したスコアリングシステムは広くは使われない傾向が見られ、今後VISSがどの程度使われていくかは今後の動向を見る必要がある。