IT大手、脆弱性深刻度評価の標準化システムで協力：RSA Conference 2005

[IDG Japan]

　Cisco Systems、Microsoft、Symantecなどの大手IT企業が、ソフトの脆弱性の深刻度評価を標準化するレーティングシステム推進に当たる。

　この新システム「Common Vulnerability Scoring System」（CVSS）の計画は2月17日、米サンフランシスコで開催のRSA Conferenceで披露された。広く採用されれば、コンピュータセキュリティの深刻度について記述する共通の言語が提供され、ベンダーごとに異なるレーティングシステムの代替になると、Cisco研究者のマイク・シフマン氏はプレゼンの中で説明した。

　同システムは、脆弱性に関する情報公開の世界的なフレームワーク構築を目指すNational Infrastructure Advisory Council（NIAC）のプロジェクトの一環。CVSS提案にはeBay、Qualys、Internet Security Systems、Mitreなどの企業や政府機関が貢献している。

　CVSSでは標準の数式を使い、新たな脆弱性について、それがリモートから悪用できるか、あるいは攻撃者がセキュリティホールを突くためにはまず脆弱性のあるシステムにログインしなければならないのか、といった情報に基づいて深刻度を計算する。

　また、特定の脆弱性の悪用コードやソフトパッチが公開されているか、公開されてからどれくらいたつかといった、タイミングの問題も考慮するという。

　ITセキュリティベンダーは自社の製品でCVSSを利用してソフトの脆弱性を評価し優先順位を付ける。ベンダーには、最終的なCVSSレーティングを計算する前に、影響を受けるシステムの数と種類といったIT環境についての情報を顧客が入力できる手段の提供が求められる。