TOP > IT・テクノロジー > INTERNET Watch > 「CVSS」とは...

「CVSS」とはそもそも何か? 脆弱性対応の優先順位付けではない!?【海外セキュリティ】 - INTERNET Watch

23コメント 登録日時:2019-01-09 08:09 | INTERNET Watchキャッシュ

 本連載の2018年9月の記事でも紹介したように、脆弱性の深刻度を評価する「CVSS(Common Vulnerability Scoring System)」が適切に利用されていないケースが散見される中、世界最初のCSIRTである米CERT/CCからCVSSの改善に向けた提言などをまとめた白書が公開されました。...

Twitterのコメント(23)

「脆弱性の技術的な深刻度≠セキュリティリスクの度合い」を(日本の)ユーザー企業のお偉いさんに理解させるのは、至難の業だと思います...
「そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません」つまりCVSSで対応優先順位を決めることはできないと /
当方は勘違いしていました.「CVSSの値とRiskの大きさは比例する」ものだと....
脆弱性開示の経済学
仕事に相当な影響があるんですが…(´・ω・`)
そうなんです。対応の要否はスコアからはわからないんです。

脆弱性対応の優先順位付けではない!?
とりあえず今すぐできることとしては「CVSSはスコアよりもパラメーターに注目してね」「全部は無理でも深刻度高いやつだけでも環境値を考慮してね」と周知・啓発を進めることかもしれない /
"そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません。"
CVSS(Score)自体は「脆弱性対応の優先順位付け」ではないよ、という話。
「脆弱性の技術的な深刻度を特定する」為のものであって、これ自体では対応優先度や必要性は決定できないよ、ということですよね。
なんらかフィルタリングされた後の上位陣の脆弱性だけでも改めて社内でどのようなリスクとなるか、みたいなのを考えるだけでも難しいのでとにかくフィルタリングはしないと現実的に運用できないという話はある
日本語で、オーケー。

浸透してないなら、英文も翻訳して紹介するべきかと。
"税関・国境警備局(CBP:U.S. Customs and Border Protection)が旅行者の.... 電子デバイスを検査する前にネットワーク接続を切っていないケースがあった..."
CVSSスコアだけ見て判断すると大体おかしなことになるから気をつけましょうという話は良くしていて、中をきちんと理解するのが大事とも言ってるけど毎日出る脆弱性全ての中身を理解するのは現実的じゃないので難しいところ
"そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません。"
まじか、、、誤用しとった。
わかりみ
"CVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません" /
脆弱性の技術的な深刻度であって、セキュリティリスクの大きさではない。多少の恣意性が混ざったとしても、求めるのは後者だわ。おのおのでセキュリティ評価するのは社会的に見てムダが多い。 /
CVSSしきい値を単純に脆弱性対応の優先順位付けに「誤用(misuse)」することは避け難い。正しくないけど現状の実務的な説明に便利。脆弱性の技術的な深刻度を正しく説明するのは難しいけど、そこをCVSSってスコアだと9.0とかって説明しちゃうと収まりが良いことがある。
鵜呑みにしないこと /
"そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません"
〉そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません。

その二つはイコールじゃないからなぁ。
えっ、まじすか。

『そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません。』
以上

記事本文: 「CVSS」とはそもそも何か? 脆弱性対応の優先順位付けではない!?【海外セキュリティ】 - INTERNET Watch

関連記事