勉強前イメージ
セキュリティ的な流れだった気がするけど知らへん
調査
CVSS とは
Common Vulnerability Scoring System の略で、 日本語で共通脆弱性評価システムになります。
脆弱性の深刻度を評価する標準化されたものです。
現在はFIRSTというところが管理しています。
標準化されているため、なにかに依存しているわけではないので製品間の比較ができます。
CVSSにもバージョンが有ります。
評価の方法
CSVVでは以下の3つの基準で脆弱性の評価を行っており、これらから脆弱性の深刻度を決定します。
- 基本評価標準
脆弱性に対する評価になります。
機密性、完全性、可用性の影響と複数の要素を合算して基本値を算出します。
評価結果は固定のため、時間経過や環境によって変わることはありません。
- 現状評価基準
脆弱性の深刻度の評価です。
攻撃おコードの有無や対策情報が利用できるのかなどの基準で評価します。
上記から、脆弱性の対応状況によって変化します。
- 環境評価基準
利用環境も含めての、最終的な脆弱性の深刻度になります。
二次被害の大きさや、使用状況などの基準で評価し算出します。
こちらは、想定される驚異に応じて利用者ごとに変化します。
深刻度について
計算を元に、0.0 ~ 10.0で算出され、高い方が緊急性が高いということになります。
ちなみに最近流行りのlog4jは CVSS v3 では10.0のスコアになっていて深刻度が以下の表で認識できると思います。
| 深刻度 | スコア |
|---|---|
| 緊急 | 9.0-10.0 |
| 重要 | 7.0-8.9 |
| 警告 | 4.0-6.9 |
| 注意 | 0.1-3.9 |
勉強後イメージ
脆弱性に対する評価。
やばいやつほど数値が高い。