Shikata Ga Nai

Private? There is no such things.

脆弱性スコアリングCVSSについてかいてみた

Hello there, ('ω')ノ

 

脆弱性をスキャンすると、たくさんの脆弱性を見つけることになって。

これを毎月実施すると脆弱性のインベントリは増え続けて。

たとえば、脆弱性スキャナーは特定のシステムで100の脆弱性を見つけることがあり。

その中でも30は誤検知、25は情報、25は重大度が低くて。

15は重大度が中、5は重大度が高い脆弱性だったりと。

当然ながら重大度の高い5つの脆弱性が優先的に対処されるわけで。

残りの脆弱性は、リソースの可用性に応じて後で処理できたりと。

したがって、脆弱性にスコアを付けないと重大度はわからないわけで。

修正の優先順位を付けることはできず。

なので、可視性とリソース管理の観点から脆弱性のスコアリングが必要なわけで。

 

そこで、CVSSを使用した脆弱性スコアリングというものがあって。

CVSSは、脆弱性をスコアリングするための標準システムで。

CVSSは、標準化された一貫した脆弱性スコアを提供して。

リスクの優先順位付けも容易にしてくれて。

 

f:id:ThisIsOne:20200523155047p:plain

 

各メトリックカテゴリについては、下記を参考にされたほうがよろしいかと。

 https://www.ipa.go.jp/security/vuln/CVSS.html

 

f:id:ThisIsOne:20200524162825p:plain

 

脆弱性のスコアリングの計算は、下記サイトを使用することで簡単になって。

必要なパラメータはすべて用意されているので、適切なパラメータを選択して。

完了すると、最終スコアが自動的に出力されて。

 https://www.first.org/cvss/calculator/3.0

 

f:id:ThisIsOne:20200523155516p:plain

 

Best regards, (^^ゞ