ニュース

脆弱性情報ポータル“JVN”が共通脆弱性評価システム“CVSS v3”での脆弱性評価を開始

従来の評価基準である“CVSS v2”による評価もこれまで通り行われる

JPCERT/CCによるリリース

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は1日、脆弱性対策情報ポータルサイト“JVN(Japan Vulnerability Notes)”において共通脆弱性評価システム“CVSS v3”による脆弱性評価を開始したことを明らかにした。

 “JVN”は、JPCERT/CCと独立行政法人情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト。国内で流通しているソフトの脆弱性情報(製品、脆弱性の影響を受けるバージョン、脆弱性の深刻度や影響範囲など)とその対策(アップデートや暫定回避策)を提供している。

 一方、“CVSS”は脆弱性の影響と深刻度を表現するために標準化された方式。“JVN”をはじめとする多くの機関で採用されている。現在おもに利用されている“CVSS”は“CVSS v2”だが、2015年6月10日にその次世代規格である“CVSS v3”が発行されており、今回“JVN”でも採用されることになった。

 “CVSS v3”では、記述の柔軟性と一貫性の向上を図りつつも、セキュリティ技術の変遷を取り入れたものとなっている。たとえば脆弱性を悪用した攻撃を受けた場合、攻撃を受けた当該コンポーネントのみに影響が留まるか、それとも外部に影響するかを分類する“スコープ”のような評価項目が追加された。これは脆弱性の影響を最小限にとどめる仮想化やサンドボックス化といった技術の導入が進んでいることを受けてのものだ。

 そのほかにも、攻撃による機密性(情報漏洩の有無)や完全性(ソフトが改竄されないかどうか)への影響を評価する項目では、単に攻撃可能な範囲を基準にするのではなく、重要な情報に対して影響をおよぼすかどうかを評価するようになった。

 なお、従来の評価基準である“CVSS v2”による評価もこれまで通り行われるとのこと。

(樽井 秀人)