CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に:セキュリティニュースアラート
FIRSTは共通脆弱性評価システム(CVSS)の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。
グローバルなセキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)は2023年11月1日(現地時間)、共通脆弱(ぜいじゃく)性評価システム(CVSS)の最新バージョンであるv4.0を正式に発表した。メジャーアップデートはCVSS v3.0が公開された2015年以来8年ぶりとなる。
CVSSは脆弱性の深刻度を評価するためのスコアリングフレームワークで、2005年に最初のバージョンであるCVSS v1が公開された。CVSSスコアは0.0から10.0の範囲で提供されており、スコア値が高いほど深刻度が緊急であることを意味している。
CVSS v4.0における主な変更点は?
CVSS v4.0では、従来のバージョンよりも細かい基本メトリクスが提供されており、スコアリングの曖昧さの低減や脅威メトリクスの簡素化、環境固有のセキュリティ要件や補完的なセキュリティ要件の評価効果が向上している。
脆弱性評価を補足するため「Automatable」(ワーム化可能)「Recovery」(回復力)「Value Density」(価値密度)「Vulnerability Response Effort」(脆弱性対応努力)「Provider Urgency」(提供者の緊急度)など幾つかのメトリクスが追加されている。
また、CVSS v4.0における機能拡張の重要なポイントとしてOT/ICS、IoTへの適用性を高めたことなども注目される。昨今、OT/ICS、IoTはサイバー攻撃者にとって格好の標的となっており、その深刻度を適切に評価する指針が必要になっていた。
その他、CVSSは単なるベーススコアではないという点を強調するために、v4.0では新しい命名法が採用されている。
- CVSS-B:スコア値:「基本評価基準」(Base Metrics)で算出
- CVSS-BT:スコア値:「基本評価基準」(Base Metrics)、「脅威評価基準」(Threat Metrics)で算出
- CVSS-BE:スコア値:「基本評価基準」(Base Metrics)、「環境評価基準」(Environmental Metrics)で算出
- CVSS-BTE:スコア値:「基本評価基準」(Base Metrics)、「脅威評価基準」(Threat Metrics)、「環境評価基準」(Environmental Metrics)で算出
CVSS v4.0の登場によって従来のバージョンよりも適切に脆弱性の深刻度が表現できるようになるものとみられる。しばらくはCVSSの複数のバージョンが混在する状況が続くものと考えられるが、徐々にCVSS v4.0へと移行していくものとみられる。
関連記事
- 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 「EPSS」は脆弱性管理の新常識になるか? データで判明したその“効能”
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。 - 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - もうOSS保守者に頼らない OpenSSFが「オープンソース消費マニフェスト」を公開
Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.