検索
ニュース

「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのかより詳細に、より簡単に

Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン(CVSS 4.0)に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。

Share
Tweet
LINE
Hatena

 セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱(ぜいじゃく)性評価システム「CVSS」の最新バージョン(CVSS 4.0)が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4〜9日(カナダ時間)に開催されたFIRST(Forum of Incident Response and Security Teams)の年次カンファレンスで発表された同内容の解説となる。

画像
プレスリリース

 CVSS 4.0の主な変更点は以下の通り。

基本メトリクスの細分化

 新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」(Attack Complexity)は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。

スコープ(Scope)指標の廃止

 FIRSTによると、これまで使われていたスコープ指標は一貫性に欠けており、「影響を受けるシステムの評価に問題が生じていた」という。そのため、CVSS 4.0ではスコープ指標を廃止。代わりに「影響度」「機密性」「完全性」「可用性」メトリクスが拡張されている。

脅威メトリクスの簡素化

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る