CVSSの新バージョン発表、脆弱性共通指標の精度向上図る

CVSS的新版本公告和弱點共同的索引的精確度改善保證

脆弱性の深刻さを測る共通尺度、CVSSのバージョン2が発表された。

共同的標度的弱點重要性哪些被測量， CVSS的版本2宣佈了。

2007年06月21日 08時54分 更新

　脆弱性の深刻さを測る共通の尺度として使われているCVSS（Common Vulnerability Scoring System）の新バージョンが6月20日、発表された。使用的弱點重要性CVSS，因為是被測量的共同的標度(共同的弱點配音錄製系統)新版本宣佈了6月20日。

　CVSSは、ベンダーやセキュリティ企業によって脆弱性の深刻度を測る尺度がまちまちな狀況を改善し、共通指標を導入する目的で2005年2月に提唱された。米國立標準技術研究所（NIST）などの政府機関に採用され、ベンダーのアドバイザリーにも利用されている。使用的弱點重要性CVSS，因為是被測量的共同的標度(共同的弱點配音錄製系統)新版本宣佈了6月20日。 　CVSS改進了情況，標度測量弱點程度重要性以供營商和安全企業是各種各樣的，以在2月2005日介紹共同的索引演講的目的。它被採取例如美國立場標準技術實驗室， (NIST)由政府機構被運用甚而[adobaizari]供營商。

　バージョン2は、専門家らで組織するCVSS-SIG（Special Interest Group）が2006年から2007年にかけて実際の脆弱性でテストを繰り返して策定。CVSSを管理しているセキュリティ団體のFIRST （Forum of Incident Response and Security Teams）と共同で発表した。組織與決定測試的專家再以實際弱點從2006年貫穿2007年的版本2 CVSS-SIG (特殊興趣組)。是聯合的與首先(事件反應和安全隊論壇)處理CVSS的，安全小組它宣佈了。

　改定に當たっては、現行バージョンをめぐってベンダーやセキュリティ専門家から寄せられた意見を反映。矛盾を解消して情報の精度を高め、多様な脆弱性をもっと正確に反映できるようにしたと説明している。在改革之時，反射除圍繞在最新版的供營商和安全專家之外被移動的觀點。取消矛盾，那它提高了它更加準確地解釋了信息的精確度，設法能反射各種各樣的弱點。

2005/02/19 23:31 更新

脆弱性の深刻さ測る「共通語」の策定進む
共通のものさしを用いてどの脆弱性がどのくらい深刻なのかを示し、対応の優先順位付けを支援するための指標作りが進められている。

利用共同的碼尺它是否顯示它是嚴肅的索引做為了支持的哪個弱點推進優先權附有書信。  　補丁的應用是一個基本安全措施。但，當執行組織補丁管理時，一個問題發生。預期，弱點是嚴肅的，並且您必須迅速應付，它意味著被掌握的客觀碼尺，是否不存在。 　作為經理、弱點它刺穿並且調整系統的重要性元素例如可及性和兼容性，它意味決定應用時間。但，例如在，至於為微軟等第它做獲取弱點在4個階段，與安全企業Secunia在5個階段估價，以企業重要性標度是各種各樣的情況。 　話筒[shihuman]思科「共同的弱點配音錄製系統」 (CVSS)被提出作為在會議上解決這個問題做以RSA會議2005年的一個技術。 　關於CVSS，雜交主要因素例如弱點內容和環境，它是它數字化的技術。如果使用這，在不同的產品它存在嘗試能比較不同的弱點，在一個標準以下。「開始關於弱點嚴肅的鞘迫切特徵由事實提供語言，它比較審查根據相同標準，它到達點，支持供營商和易碎的自然信息發行，對那在終端用戶的三個人，弱點「重要性」 「緊急情況」數字化，書信的優先權可以決定」， ([shihuman])至於為這個框架， [kodeineta]它為事實瞄準它提供的事。您那樣說那，它與一般知道的弱點數據庫和風險評估系統和事件警告系統不同等等。 　關於CVSS，除Cisco之外在企業的認同之下例如微軟、Symantec和互聯網保安系統，編輯被推進。除提供弱點數據庫「CVE」參與的事實以外也合作從國家基礎設施顧問班子(NIAC)和US-CERT獲得，也斜接。另外不果斷正式父母，但是它指揮到標準化與IETF，它認為它是收集草稿的階段。

　パッチの適用は基本的なセキュリティ対策の1つだ。しかし、組織的なパッチ管理を実施するうえで、1つ問題が生じる。果たしてその脆弱性がどのくらい深刻であり、どの程度迅速に対處しなければならないかを把握する客観的なものさしが存在しないことだ。

　管理者としては、脆弱性の深刻さをシステムのアベイラビリティや互換性といった要素と突きあわせ、適用のタイミングを決定することになる。しか し、たとえばMicrosoftは4段階で脆弱性をランク付けし、セキュリティ企業のSecuniaでは5段階で評価を行うといった具合に、企業によって 深刻さの尺度はまちまちだ。

　Cisco Systemsのマイク・シフマン氏は、RSA Conference 2005で行ったセッションにおいて、この問題を解決する手法の1つとして「Common Vulnerability Scoring System」（CVSS）を提示した。

　CVSSは、脆弱性の內容や環境といった要因を掛け合わせて數値化する手法だ。これを用いれば、異なる製品に存在する異なる脆弱性を、1つの基準 の下で比較できるようにする。「脆弱性の深刻さや緊急性に関するオープンな言語を提供することで、同一の基準の下で比較検討し、対応の優先順位を決定でき るようになる」（シフマン氏）

　この枠組みは、ベンダーと脆弱性情報の公開を支援するコーディネータ、それにエンドユーザーの三者に、脆弱性の「深刻さ」「緊急さ」を數値化して 提供することを狙ったものだ。その意味で、いわゆる脆弱性データベースやリスク評価システム、インシデント警報システムなどとは異なるという。

　CVSSは、CiscoのほかMicrosoft、SymantecやInternet Security Systemsといった企業の賛同の下、作成が進められている。National Infrastructure Advisory Council（NIAC）やUS-CERTからの協力も得られているほか、脆弱性データベース「CVE」を提供するMITREも參加。また正式な母體は決定していないが、IETFでの標準化に向け、ドラフトをまとめている段階だという。

判斷基準に3つの値

　シフマン氏によると、CVSSでは3種類の數値が用意される。1つは、セキュリティの「CIA」に対する影響やリモートからの悪用が可能かどうか といった要素を元に、脆弱性そのものの性質を評価する「基本値」。2つめは、実證コード／悪用コードや問題迴避策といった要素を加味した「暫定値」だ。基 本値が一定であるのに対し、暫定値のほうはパッチの有無などの狀況に応じて変動する。

　この2つの數値は、ベンダーやコーディネータが脆弱性情報を公表する際、ともに提示されることが期待されているという。

　3つめの値は、エンドユーザー自身が設定する「環境値」だ。ターゲットとなりうる機器の配置具合といった要素を加味して算出するオプション的な値だが、「エンドユーザーが自社における対応の優先順位を決定するのに利用する、最終的な値になる」（シフマン氏）。

　この數式に従えば、Cicso IOSに存在するDoSの脆弱性（CAN-2003-0567）の基本値は5.0、暫定値は4.4。Sasserワームに悪用されたWindowsのLSASSの脆弱性（CAN-2003-0533）はそれぞれ10.0、8.7となる。

　シフマン氏の発表に対し會場からは、「算出に當たってはパラメータをもっときめ細かく定めるほうがいいのではないか」「脆弱性の集合についても算出すべきではないか」など、さっそくさまざまなコメントが寄せられていた。

　また、「ウイルスひとつ取っても、ベンダーによって深刻性が異なっているだけでなく、ときには名前さえ異なる。脆弱性についても同じような混亂が起こらないよう標準化が必要だし、それには多くのベンダーを巻き込んでいく必要があるのではないか」という意見も出された。

　RSA Conferenceで「脆弱性の法則」についてプレゼンテーションを行っているQualysのCTO、ゲアハルト・エシェルベック氏もこの動きに賛同し ている。同氏は、「脆弱性の半減期を短縮することが重要だ。それにはユーザーの認識を高めることと企業內でのプライオリティ付け、ツールやプロセスの自動 化という3つの要素が必要だ」と述べ、このうち優先順位の決定の部分においてCVSSが重要な役割を果たすとしている。

在決策標準根據三價值[shihuman]，以3個類型的CVSS數值準備。是否至於為一，影響和惡習從遙控為「CIA」安全可能性與根據說的元素，弱點字符是被估價的「基本的價值」。二[我]加元素例如實際證明繩子或代碼或者惡習繩子或代碼和問題躲避步「臨時價值」。關於基本的價值是固定，臨時價值根據情況動搖例如補丁的出現。 　關於這二個數值，場合，供營商和[kodeineta]出版易碎的自然信息，您說它期望一起提出它。 　終端用戶是集合值為三[我]， 「環境價值」。增加元素例如可能成為目標，但選項值它計算， 「設備的安排情況，雖然書信的優先權終端用戶在各自公司中決定它運用，它到達最後的價值」， ([shihuman])。 　如果您跟隨這個數字慣例，至於為弱點(CAN-2003-0567存在於Cicso IOS 5.0的)的基本的價值DoS，至於為臨時價值4.4。在Sasser蠕蟲窗口LSASS的弱點(CAN-2003-0533)被濫用各自它成為與10.0和8.7。 　關於公告[shihuman]從會址， 「它不意味著在演算之時精巧決定參量的方法是更好的？」， 「關於我們應該計算」弱點的彙聚，等等，各種各樣的評論立即被移動了在旁邊。 　另外， 「病毒1採取，嚴肅的特徵不僅它不同，甚而命名它不同當時取決於供營商。為了相似的混亂不關於弱點標準化發生投入它不是有必要繼續涉及許多供營商對那的必要，也觀點？」，被投入了。 　做介紹關於「弱點法律」以RSA會議Qualys的CTO， [geaharuto] [eshierubetsuku]也批准對這運動。關於同一個人， 「縮短弱點半衰期是重要的。提高用戶的公認的三個優先權的元素、自動化附有，工具和過程在事和企業裡面對那是必要的」，我們假設，您表達，您執行CVSS是重要的在優先權決定的部分在這些之中的角色。