Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン(CVSS 4.0)に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱(ぜいじゃく)性評価システム「CVSS」の最新バージョン(CVSS 4.0)が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4〜9日(カナダ時間)に開催されたFIRST(Forum of Incident Response and Security Teams)の年次カンファレンスで発表された同内容の解説となる。
CVSS 4.0の主な変更点は以下の通り。
新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」(Attack Complexity)は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。
FIRSTによると、これまで使われていたスコープ指標は一貫性に欠けており、「影響を受けるシステムの評価に問題が生じていた」という。そのため、CVSS 4.0ではスコープ指標を廃止。代わりに「影響度」「機密性」「完全性」「可用性」メトリクスが拡張されている。
Copyright © ITmedia, Inc. All Rights Reserved.