「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか:より詳細に、より簡単に
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン(CVSS 4.0)に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。
» 2023年07月10日 08時00分 公開
[@IT]
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱(ぜいじゃく)性評価システム「CVSS」の最新バージョン(CVSS 4.0)が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4〜9日(カナダ時間)に開催されたFIRST(Forum of Incident Response and Security Teams)の年次カンファレンスで発表された同内容の解説となる。
プレスリリースCVSS 4.0の主な変更点は以下の通り。
基本メトリクスの細分化
新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」(Attack Complexity)は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。
スコープ(Scope)指標の廃止
FIRSTによると、これまで使われていたスコープ指標は一貫性に欠けており、「影響を受けるシステムの評価に問題が生じていた」という。そのため、CVSS 4.0ではスコープ指標を廃止。代わりに「影響度」「機密性」「完全性」「可用性」メトリクスが拡張されている。
脅威メトリクスの簡素化
関連記事
数分でランサムウェア攻撃を検知しているのに75%が身代金を支払っているのはなぜ? フォーティネット
フォーティネットジャパンは、「2023年ランサムウェア グローバル調査レポート」を発表した。ランサムウェアによる被害が続いており、企業の半数が被害を受けていることが分かった。
米国DARPAがツール提供、ファイルフォーマットの脆弱性を軽減する「ドキュメントセキュリティ」とは?
DARPAは、Safe Documentsプログラムの成果として、人々が安全であることを確信してドキュメントを開き、画面に表示されるまでのプロセスを信頼できるようにする新しい方法とツールを開発した。
全世界の組織の48%が影響を受けた「ディレクトリトラバーサル脆弱性」とは チェック・ポイント
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年4月のGlobal Threat Index(世界脅威インデックス)を発表した。それによると2023年4月に国内で発生した脅威ランキングのトップは「Emotet」だった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。