■CVSSって何?
・共通脆弱性評価システム
・脆弱性の深刻さを評価する仕組み
・IT製品の脆弱性に対するオープンで汎用的な評価手法
・ベンダに依存しない共通の評価方法を提供
■CVSSによる脆弱性を評価するための三つの基準
ー 基本基準評価(Base Metrics)
・脆弱性そのものの特性を評価する基準
・機密性、完全性、可用性に対する影響を評価
・CVSS基本値(Base Score)を算出する
ー 現状評価基準(Temporal Metrics)
・脆弱性の現状の深刻度を評価する基準
・攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価
・CVSS現状値(Temporal Score)を算出する
ー 環境評価基準(Environmental Metrics)
・製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準
・攻撃による被害の大きさや対象製品の使用状況といった基準で評価
・CVSS環境値(Environmental Score)を算出する
---------------------------------------------------------------------------
0コメント