Internet Watch logo
記事検索
最新ニュース

IPA、ソフトウェアの脆弱性深刻度を公表


 情報処理推進機構(IPA)は22日、ソフトウェアの脆弱性について、深刻度を評価する取り組みを開始した。製品利用者やSI事業者が脆弱性への対応を判断する際に、共通の基準とすることが狙い。現在、2006年10月以降に公表した脆弱性関連情報38件の深刻度を公表している。

 IPAが評価する脆弱性深刻度は、セキュリティインシデントに関わる活動を行なう世界各国の組織が推進する脆弱性評価システム「CVSS(Common Vulnerability Scoring System)」の評価基準を用いる。CVSSは、情報システムの脆弱性に対する国際的な評価手法で、ベンダーに依存しないことが特徴。CVSSを採用することで、脆弱性の深刻度を同じ基準で定量的に比較できるとしている。また、ベンダー、セキュリティ専門家、管理者、ユーザーなどの間で、脆弱性に関して共通の枠組みで議論することが可能となる。

 深刻度のレベルは、危険度に応じて3段階で評価する。

 最も危険度が高いのは「レベルIII(危険)」で、CVSSの基本値では7.0~10.0に該当する。レベルIIIの脆弱性では、リモートからシステムを完全に制御されるような脅威、大部分のデータを改竄されるような脅威、OSコマンドインジェクション・SQLインジェクション・バッファオーバーフローによる任意の命令実行などの脅威を想定している。

 次に危険度が高いのは「レベルII(警告)」で、CVSSの基本値では4.0~6.9に該当する。レベルIIの脆弱性としては、重要な情報が漏洩するような脅威、サービス停止につながるような脅威、アクセス制御の回避・すべてのシステムが停止するようなサービス運用妨害(DoS)などのほか、レベルIIIに該当するが再現性が低い脅威を想定している。

 最も危険度が低いのは「レベルI(注意)」で、CVSSの基本値は0.0~3.9に該当する。レベルIの脆弱性については、システムの一部に被害が発生するような脅威、攻撃するために複雑な条件を必要とする脅威、クロスサイトスクリプティングやディレクトリトラバーサルによる一部の情報漏洩、一部のシステムが停止するようなサービス運用妨害(DoS)などのほか、レベルIIに該当するが再現性が低い脅威を想定している。

 なお、CVSSの基本値は、脆弱性そのものの特性を同一の基準の下で数値化したものだ。そのため実際に各組織の脆弱性への対応は、「CVSS基本値に加え、攻撃コードの出現有無、対策情報の適用可否、各組織での対象製品の利用範囲や攻撃を受けた場合の被害の大きさなども加味して、製品利用者自身が総合的な評価する必要がある」(IPA)としている。


CVSS基本値による深刻度のレベル分けの概要

関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/vuln/SeverityLevel.html
  脆弱性関連情報の調査結果
  http://www.ipa.go.jp/security/vuln/documents/index.html#Vuln


( 増田 覚 )
2007/02/22 17:07

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.