PR

 情報処理推進機構(IPA)は、ソフトウエア製品の脆弱性を評価するシステムCVSS(Common
Vulnerability Scoring System)を、CVSS v2にバージョンアップした。2007年8月20日以降の発表分から適用する。

 CVSSは、インシデントに関する国際組織であるFIRST(コンピュータセキュリティインシデント対応チームフォーラム)が推進する評価手法であり、脆弱性の深刻さを同一基準で定量的に比較できるようにしたものである。

 IPAも、脆弱性関連情報の届出を受け付ける際にCVSSを適用してその深刻度を評価していた。2007年4月から公開している脆弱性対策情報データベースJVN iPediaでもCVSSを使った評価結果を公表している。

 2005年6月に公開していた前バージョンのCVSS v1では、脆弱性を評価するCVSS基本値(0.0~10.0)が特定値に集中する、低めの値を中心に分散してしまうという課題があったという。FIRSTが07年6月20日に公表したCVSS v2では、CVSS基本値の中央を中心に分散するように各評価項目の値や算出式を改善した。実際の脆弱性深刻度の分布も、深刻度の評価結果が中程度の「レベルII(警告)」を中心に分散した形となった。