CVSSv4.0は現行のCVSSv3.1とどう違う? PwC Japanが解説
PwC Japanは2023年10月に公開予定のCVSSv4.0について解説した。新しい評価基準や表記の導入が予定されているため押さえておきたい。
PwC Japanグループ(PwC Japan)は2023年8月7日、共通脆弱(ぜいじゃく)性評価システム(CVSS)バージョン4.0(CVSSv4.0)について解説した。2023年10月にリリースされる予定のCVSSv4.0について現行のCVSSv3.1との主な変更点などをまとめている。
CVSSv4.0の新しい評価基準と2023年10月の公開に向けての詳細
CVSSはコンピュータシステムにおける脆弱性評価に利用される指標で、さまざまな評価基準に沿って0から10.0までのスコア値が算出される。このスコア値は脆弱性の深刻度を示す値として業界で広く活用されている。
CVSSはこれまで何度かバージョンが更新され、評価基準が変更されている。CVSSv4.0は現行のCVSSv3.1と基本的な仕組みは大きく変わってはいないが、評価基準の名称変更や新しいメトリクスグループなどが追加された。
CVSSv3.1は「基本評価基準」(Base Metrics)、「現状評価基準」(Temporal Metrics)、「環境評価基準」(Environmental Metrics)の3つのメトリクスグループで構成されている。CVSSv4.0ではこのうち「現状評価基準」の名称が「脅威評価基準」(Threat Metrics)という名称に変更された他、新しいメトリクスグループとして「補足評価基準」(Supplemental Metric Group)が追加された。各メトリクスの変更箇所については以下を確認してほしい。
CVSSv4.0からは算出に利用したメトリクスを明確化するために、以下のような命名方法が提案されたため、確認しておきたい。
- CVSS-B:スコア値:「基本評価基準」(Base Metrics)で算出
- CVSS-BE:スコア値:「基本評価基準」(Base Metrics)、「環境評価基準」(Environmental Metrics)で算出
- CVSS-BT:スコア値:「基本評価基準」(Base Metrics)、「脅威評価基準」(Threat Metrics)で算出
- CVSS-BTE:スコア値:「基本評価基準」(Base Metrics)、「脅威評価基準」(Threat Metrics)、「環境評価基準」(Environmental Metrics)で算出
2023年10月以降は「CVSS-B:9.3」といった新しい表記が使われる可能性が高いため、把握しておきたい。PwC Japanは、CVSSv4.0リリース後にはセキュリティベンダーや政府機関などから利用がはじまり、現在使われているバージョンと並行しながら段階的な移行が進むことになるだろうと指摘している。
関連記事
- 「共通脆弱性評価システム(CVSS)のみの脆弱性管理は非効率的だ」のワケ
eSecurity Planetは、「Flashpointが公開した報告書のデータや共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値に頼った脆弱性管理システムには問題がある」と指摘する。そのワケとは。 - 欧州議会本会議が「AI規則案」を採択 違反した場合は制裁金も
欧州議会本会議がAI規則案を採択した。年内の合意と2024年以降の施行が予定されている。同規則案では、AIは4つのリスクカテゴリーに分類され、違反すると売り上げベースの罰金が課される。 - 経産省、生成AI時代の人材・スキルについて方針発表
経産省は生成AIのDXへの影響と必要な人材・スキルについての考え方を発表した。生成AIの社会への影響や人材育成の必要性、政策対応などが含まれており、今後の技術変化に応じて議論するとしている。 - Kyndrylが事業を拡大し、470億ドル規模のマネージドセキュリティサービス市場に参入
Kyndrylはエンド・ツー・エンドのセキュリティ運用機能とサービスを拡張し、470億ドルのマネージドセキュリティサービス市場に進出する計画を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.