« ネットワーク検定 | トップページ | ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2007 »

2007年8月25日 (土)

CVSS v2へ移行

8/20にIPAセキュリティセンターより「脆弱性の深刻度評価の新バージョンCVSS v2への移行について」が、公開されています。

どこが変わったかというと・・・

●CVSS v2の改善点
 脆弱性の深刻度の分布が、レベルIIを中心に分散した形になりました

 2005年6月に公開されたCVSS v1を各組織が実際の脆弱性へ適用し2年間運用してみると、脆弱性そのものの特性を評価するCVSS基本値(0.0から10.0の範囲に算出される)が特定の値に集中してしまう、また、低めの値を中心に分散してしまう等の課題が報告されていました。

 そこで、CVSS v2では、CVSS基本評価基準の全ての組み合わせから算出されるCVSS基本値の出現頻度が、CVSS基本値の中央を中心に分散するように、各評価項目の値や算出式が改善されました。

(中略)

 実際の脆弱性の深刻度分布も、深刻度の評価結果がレベルIIを中心に分散した形となり、CVSS利用者が脆弱性への対応の緊急度を、より迅速に意思決定しやすくなりました。

だそうです。

ちなみに、CVSSのv1はこのブログでも今年の6/23の記事(こちら)で紹介したばかりでしたが、今回のバージョンアップは上記のような問題点を解消したということですね。

|

« ネットワーク検定 | トップページ | ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2007 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/7617084

この記事へのトラックバック一覧です: CVSS v2へ移行:

« ネットワーク検定 | トップページ | ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2007 »