トップ
ビジネス
- インダストリトピック
- 金融
- 製造
- 公共
- 小売
- 物流
- 通信
- ネットビジネス
- マネジメントトピック
- 財務
- 人事
- マネジメント
- キャリア・転職
- メンタルヘルス
- ビジネストピック
- ユーザー事例
- 業界動向
- 英語
- 資格・学習
テクノロジー
- テクノロジートレンド
- セキュリティ
- ガバナンス・運用管理
- Notesの次を考える
- ソーシャルテクノロジ
- 経営が知るべきバズワード
- 新しいOSの選択肢
- これはひどい！ITの話
- デベロッパー
- builder by ZDNet Japan
ホワイトペーパー
製品
用語
リファレンス
ダッシュボード
- ビジネスリソース
- プレスリリース
- イベント情報
- 企業情報センター
- インフォメーション
- ZDNet Japanのイベント
- サイトマップ

IPA、脆弱性の深刻度評価システムを「CVSS v2」へ移行

IPAは8月20日、ソフトウェア製品の脆弱性の深刻度評価に採用している共通脆弱性評価システムCVSSを、新バージョンである「CVSS v2」へ移行したと発表した。

CNET Japan Staff 2007年8月20日 19時48分

記事の評価

　独立行政法人情報処理推進機構（IPA）は8月20日、ソフトウェア製品の脆弱性（ソフトウェア等におけるセキュリティ上の弱点）の深刻度評価に採用している共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）を、新バージョンである「CVSS v2」へ移行したと発表した。

　IPAでは、ソフトウェア製品の脆弱性の深刻度評価について、FIRST（Forum of Incident Response and Security Teams）が推進するCVSSを採用している。CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、特定のベンダーに依存せず、脆弱性の深刻さを、製品利用者やSI事業者、製品開発者などが、同一の基準の下で定量的に比較できるもの。

　IPAにおいても、届出られた脆弱性についてCVSSによる深刻度評価を行っているが、2007年6月に公開された「CVSS v2」を受け、IPAにおける脆弱性対策情報の公表ページ

、および、脆弱性対策情報データベース「JVN iPedia」での深刻度評価をCVSS v2ベースへ移行した。

　CVSSでは算出される基本値をベースに「レベルI（注意）」「レベルII（警告）」「レベルIII（危険）」の3段階で深刻度をレベル分けする。CVSS v2では、従来のv1で起こっていた、脆弱性そのものの特性を評価するCVSS基本値が特定の値に集中してしまうといった問題が解消され、利用者が脆弱性への対応の緊急度を、より迅速に判断しやすくなっているという。

　CVSS v2の概要については、IPAウェブサイト上の情報を参照のこと。