Open2
CVSSについて調べる
UgoCVSSとは
Common Vulnerability Scoring System の頭文字。
FIRST(Forum of Incident Response and Security Teams)によって管理されており
2005年にCVSS v1が公開
2007年にCVSS v2が公開
脆弱性の深刻度を同一の基準の下で定量的に比較できるようになる。
ベンダー、セキュリティ専門家、管理者、ユーザー等の間で、脆弱性に関して共通の言葉で議論できるようになる。
v2については以下
3つの評価基準
基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準。
ネットワークから攻撃可能かどうかを評価して基本値を算出する。
影響:
- 機密性( Confidentiality Impact )
- 完全性( Integrity Impact )
- 可用性( Availability Impact )
現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。
攻撃コードの出現有無や対策情報が利用可能かで現状値を算出する。
時間の経過とともに変化する。
現状を表すために評価する基準。
環境評価基準 (Environmental Metrics)
最終的な脆弱性の深刻度を評価する基準。
攻撃の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で環境値を算出する。
脆弱性に対して想定される脅威に応じ、製品利用者ごとに変化する。
製品利用者が脆弱性への対応を決めるための基準。
UgoCVSS v3について
評価はv2と変わらない。
v2との違いについて
v2では、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価していた。
仮想化や、サンドボックス化が進んでいるため、コンポーネント単位で評価する手法を取り込んだ仕様になった。
[WIP]