脆弱性情報サイト「JVN」、共通脆弱性評価システム「CVSS v3」による脆弱性評価を開始

2015年12月1日、一般社団法人JPCERTコーディネーションセンター(東京都千代田区、代表理事：歌代 和正、以下「JPCERT/CC」といいます。)は、JPCERT/CC 及び IPA (独立行政法人情報処理推進機構、理事長：藤江一正) が共同運営する脆弱性対策情報ポータルサイトJapan Vulnerability Notes(*1) (以下「JVN」といいます。) において、共通脆弱性評価システムCVSS v3(*2)による脆弱性評価を開始しました。

CVSS は、脆弱性の影響と深刻度を表現する標準化された方式として、The Forum of Incident Response and Security Teams (FIRST) において策定され、多くの脆弱性アドバイザリに記載されています。現在使われているCVSS は CVSS v2 ですが、2015年6月10日、新しいバージョンの CVSS v3 の規格が発行されました。

CVSS v3 では、記述の柔軟性と一貫性の向上をはかるとともに、セキュリティ技術の変遷にも配慮して、影響範囲が直接の攻撃対象システムに留まるかどうかを分類する「スコープ」のような評価項目が追加され、また、攻撃による機密性・完全性への影響を評価する項目においては、攻撃可能な範囲ではなく、重要な情報に対する影響の有無を評価するように評価レベルが変更されています。

CVSS v3 を使用した脆弱性アドバイザリのさきがけとして、JVN では、従来の評価基準である CVSS v2 に加え、新たな評価基準であるCVSS v3 を使い、2つの基準による脆弱性の評価を行っていきます。

今後とも JVN をご活用いただければ幸いです。

(*1) Japan Vulnerability Notes
https://jvn.jp/

(*2) 共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/CVSSv3.html