「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開:セキュリティニュースアラート
ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。
Zoom Video Communications(以下、ZVC)は2023年12月15日(現地時間)、コンピュータシステムのインフラストラクチャや技術スタック、保護されたデータなどに対する脆弱(ぜいじゃく)性の影響を評価するためのオープンでカスタム可能なフレームワーク「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。
ZVCが新たな脆弱性評価フレームワーク「VISS」を公開 その特徴は?
VISSは脆弱性を異なる13の観点で分析し、プラットフォームやインフラストラクチャ、データに特有の影響グループに分類する。計算値は0から100までのスコアとして算出される他、補償コントロール指標を適用することで変更できる。
VISSで算出されるスコア値と評価の主な関係は以下の通りだ。
- なし(None): 0〜9
- 低(Low): 9.01〜39
- 警戒(Medium): 39.01〜69
- 重要(High): 69.01〜89
- 緊急(Critical): 89.01〜100
コンピュータシステムなどの脆弱性を評価するスコアリングシステムとしては共通脆弱性評価システム(CVSS)が最も広く普及している。CVSSは国際的なセキュリティ事故対応チームによって協議および策定されており、スコアリングシステムの中ではデファクトスタンダードのポジションにある。
CVSSはサイバー攻撃者の視点から主観的に脆弱性を評価し、最悪の影響を想定するといった考え方に基づいているが、VISSは防御者の視点から実際に示されたリスクのみを考慮する。生成される数値スコアは与えられた環境内での相対的な影響の深刻度を示している。このためVISSはCVSSの代替として使うというものではなく、異なる視点から補完的な評価システムとして使うことが意図されている。
VISSに関する全ての権利や利益はZVCが保有しているが、条件に従う場合は一般に無料で使用するライセンスが提供されている。
VISSのように特定のベンダーが策定したスコアリングシステムシステムは他にも存在しているが、CVSSほどは普及していない。特定のベンダーが作成したスコアリングシステムは広くは使われない傾向が見られ、今後VISSがどの程度使われていくかは今後の動向を見る必要がある。
関連記事
- 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 - ファイル転送サービスはなぜサイバー攻撃の標的になるのか?
2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。 - 「EPSS」は脆弱性管理の新常識になるか? データで判明したその“効能”
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.