特徴
- CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)とは、情報システムの脆弱性に対する汎用的な評価手法として、NIAC(National Infrastructure Advisory Council:米国国家インフラストラクチャ諮問委員会)によって作成されたもの
- 現在は、FIRST(Forum of Incident Response and Security Teams)が仕様改善や推進活動を担っている。
- CVSSを用いることで、脆弱性の深刻度を同一の基準で定量的に評価することが可能となる
- CVSSでは、以下の3つの基準を用いて、脆弱性を得点(0.0〜10.0)で評価する
- 基本評価基準(Base Metrics)
脆弱性自体を評価する基準。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出。時間の経過や利用環境によって変化しない。 - 現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。現時点での攻撃を受ける可能性、利用可能な対応策などから算出。時間の経過により変化する。 - 環境評価基準(Environmental Metrics)
利用環境など最終的な脆弱性の深刻度を評価する基準。製品利用者ごとに変化する。
- 基本評価基準(Base Metrics)
- 深刻度とスコアは以下の通り
- 緊急:9.0〜10.0
- 重要:7.0〜8.9
- 警告:4.0〜6.9
- 注意:0.2〜3.9
- なし:0
過去問
情報処理安全確保支援士試験 令和元年度 秋期 午前2 問9
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問9(一部、加工あり)】
基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
- CVSS
→正解 - ISMS
→組織における情報セキュリティを維持・向上させるための仕組みです。 - PCI DSS
→クレジットカード取引情報などを保護するためにクレジット業界が定めたセキュリティ対策基準です。 - PMS
→個人情報を保護するためのマネジメントシステムです。