各企業がセキュリティ脆弱性によってどの程度の損害を被るかをより容易に判断できるようにすることを目的とした脆弱性評価システムが主流になる日も近いと、同システムの支持者らは述べている。
現在、多くのハイテク企業やセキュリティベンダーは、独自の方法でセキュリティ脆弱性の影響を測定しているが、「Common Vulnerability Scoring System(共通脆弱性評価システム:CVSS)」計画は、ソフトウェア脆弱性の評価方法の統一を目指したものだ。
このCVSSの導入を推進している「Forum of Incident Response and Security Teams(FIRST)」のMike Caudill会長は、「われわれは現在の混沌とした状況から秩序を取り戻したいと考えている」と述べ、さらに「最終目標は、脆弱性に対するユーザーの適切な対応を支援するシステムの構築だ」と語った。
CVSSは、重要インフラ用情報システムのセキュリティについてBush大統領に助言を行なっている国家インフラ諮問委員会(National Infrastructure Advisory Council:NIAC)の支援の下で開発された。。United States Computer Emergency Readiness Centerなどのセキュリティインシデント対応チームが参加する世界的なコンソーシアムであるFIRSTは、CVSSのさらなる発展に向けた調整を行なっている。
FIRSTは米国時間19日に、CVSSの広範な導入を呼びかけた。CVSSの支持者らは、同システムが過去1年半の開発段階を終了し、より一般的な利用が可能な状態にすぐにでも移行できると考えている。同システムは今年2月に一般公開され、それと同時に、およそ30社で構成される企業グループが同システムのテストを開始した。
脆弱性管理企業の米Qualysの最高技術責任者(CTO)で、CVSSの設計者の1人であるGerhard Eschelbeckは16日に、「今こそCVSSの普及を図り、より多くのベンダーに同システムを導入してもらうという次の段階に移行すべき時だ」と語った。
CVSSは、Microsoftのセキュリティ勧告に見られる「critical(緊急)」や「important(重要)」といった、今日行なわれている様々な深刻度評価のさらに上を行っている。CVSSでは、深刻度を示す尺度として1から10までの数字が使用され、各企業/組織が、現在使用しているITシステムに関する情報を追加することにより、自社の環境の具体的なリスクを算出できるようになっている。これにより、各企業/組織はパッチに優先順位をつけやすくなる。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
