CVSS に関するメモ

no extension

IPA セキュリティセンターが公開している脆弱性情報について試験的に CVSS 基本値を載せることにしたんだそうで。 そういや CVSS なんてもんがあったな。 完全に忘れてたよ。 一昨年の春くらいに CVSS がどうのってニュースが流れていたような。 というわけで, ちゃんとお勉強するためのメモを書いておく。

まずは関連するページを列挙する。

CVSS (Common Vulnerability Scoring System; 共通脆弱性評価システム)は情報システム脆弱性を定量的に評価するための方法・手順を示したもので, オープンでかつ特定のセキュリティ・ベンダに依らない汎用的な仕様になっているのが特徴。 CVSS には大きく3つの Metrics がある。

  • Base Metrics (基本評価基準): 脆弱性そのものの特性
  • Temporal Metrics (現状評価基準): 現在の深刻度
  • Environmental Metrics (環境評価基準): 利用者の最終的な深刻度

これらの Metrics を基に Score を算出する。 Base Metrics からは Base Score (基本値)が算出される。 Base Score に Temporal Metrics を加味したものが Temporal Score (現状値)。 Temporal Score に Environmental Metrics を加味したものが Environmental Score (環境値)。

Metrics が何故このように分かれているかというと, それぞれの Metrics を評価する人(あるいは組織)が異なるためだ。 すなわち Base Metrics の評価は脆弱性の報告者が行い, Temporal Metrics の評価は対象となる製品のベンダが行い, Environmental Metrics は製品の利用者自身が行うわけだ。 従って「脆弱性の報告者」側に立つ IPA は Base Score を公表することになる。 Base Score を受けてベンダは Temporal Score (あるいは Temporal Score の推移)を公表し, 利用者は Temporal Score を基に最終的な判断を行うことができるのである。

このように CVSS による評価は上から何やらありがたいご神託が降りてくるわけではなく, 利用者自身もその評価に加わる必要がある。 そこで JVNRSS では簡単に評価ができる CVSS Calculator を公開している。 何やらかっこいい画面が表示されるが, 計算式自体はそんなに難しくないので JavaScript でも組めそうな感じだ。

(2/28 追記) ちうわけで, JavaScript で作ってみた