共通脆弱性評価システムの最新版「CVSS v4.0」、FIRSTが正式発表：指標グループを拡充、新しい評価スコア名も導入

米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。

» 2023年11月10日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　米国の非営利団体FIRST（Forum of Incident Response and Security Teams）は2023年11月1日（米国時間）、共通脆弱（ぜいじゃく）性評価システム「CVSS」（Common Vulnerability Scoring System）の最新バージョン「CVSS v4.0」を正式に発表した。

　CVSSは、ソフトウェアの脆弱性の特徴と重大性を伝えるためのオープンなフレームワークであり、さまざまな評価指標に基づいて、脆弱性の技術的重大性を反映した数値スコアを作成するために使用される。組織が脆弱性の管理プロセスを適切に評価して優先順位を付け、サイバー攻撃に対する防御策を準備する上で、また、消費者が脆弱性の脅威と影響を評価し、攻撃から自衛する上で役立っている。

　CVSS v4.0では、より正確な脆弱性評価を可能にすることを目的に、CVSS v3.xに対して以下のような変更が行われた。

指標グループが4つに

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「脆弱性に対処する難易度」を評価可能に　最新のCVSS「CVSS 4.0」は何が違うのか
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン（CVSS 4.0）に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。
CVSS（共通脆弱性評価システム）3.0から3.1への変更点
本連載では、グローバルスタンダードになっている「SCAP」（セキュリティ設定共通化手順）およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。