Hello there, ('ω')ノ
脆弱性をスキャンすると、たくさんの脆弱性を見つけることになって。
これを毎月実施すると脆弱性のインベントリは増え続けて。
たとえば、脆弱性スキャナーは特定のシステムで100の脆弱性を見つけることがあり。
その中でも30は誤検知、25は情報、25は重大度が低くて。
15は重大度が中、5は重大度が高い脆弱性だったりと。
当然ながら重大度の高い5つの脆弱性が優先的に対処されるわけで。
残りの脆弱性は、リソースの可用性に応じて後で処理できたりと。
したがって、脆弱性にスコアを付けないと重大度はわからないわけで。
修正の優先順位を付けることはできず。
なので、可視性とリソース管理の観点から脆弱性のスコアリングが必要なわけで。
そこで、CVSSを使用した脆弱性スコアリングというものがあって。
CVSSは、脆弱性をスコアリングするための標準システムで。
CVSSは、標準化された一貫した脆弱性スコアを提供して。
リスクの優先順位付けも容易にしてくれて。
各メトリックカテゴリについては、下記を参考にされたほうがよろしいかと。
https://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性のスコアリングの計算は、下記サイトを使用することで簡単になって。
必要なパラメータはすべて用意されているので、適切なパラメータを選択して。
完了すると、最終スコアが自動的に出力されて。
https://www.first.org/cvss/calculator/3.0
Best regards, (^^ゞ