New CVSS 4.0 vulnerability severity rating standard released
2023/11/01 BleepingComputer — FIRST (The Forum of Incident Response and Security Teams) は、これまでのメジャー・バージョンである CVSS v3.0 から8年を経て、CVSS v4.0 を正式にリリースした。これが、次世代の標準 CVSS (Common Vulnerability Scoring System) となる。CVSS は、ソフトウェアの脆弱性の深刻度を評価するための、標準化されたフレームワークである。そこでは、機密性/完全性/可用性/悪用可能性/要求権限への影響に基づき、数値スコアまたは定性的な表現 (低/中/高/重大など) が割り当てられ、より深刻な脆弱性に対して高いスコアが与えられる。
CVSS では、個々のシステムやソフトウェアのリスクを算出するための一貫した方法が提供され、脆弱性の影響が評価されるため、優先して対応すべきセキュリティ脅威が促進される。
FIRST は、「改訂された規格は、基本的な評価基準の粒度を細分化し、スコアリングの曖昧さを取り除き、脅威の評価基準を簡素化し、環境固有のセキュリティ要件と、それを補う対策の評価の有効性を高めている。さらに、脆弱性評価のための補足的な評価指標として、自動化可能性 (ワーム可能性)/回復力 (レジリエンス)/価値密度/脆弱性対応の努力/プロバイダの緊急性などが追加された。CVSS v4.0 の主な強化点は、OT/ICS/IoT への適用性が追加されたことであり、Safety メトリクスと値が Supplemental/ Environmental の両メトリクス・グループに追加さ れた」と述べている。
CVSS v4.0 では、深刻度を評価するために、ベース (CVSS-B)、ベース+脅威 (CVSS-BT)、ベース+環境 (CVSS-BE)、ベース+脅威+環境 (CVSS-BTE) が追加されている。
CVSS v4.0 標準に新たに取り込まれた、詳細な Baseメトリクス/値や、影響度メトリクスなどの変更点は、このリストで参照できる。
2005年2月の CVSS バージョン 1 のリリースから、18年が経過した 2023年6月に、カナダのモントリオールで FIRST の第 35 回年次会議が開催された。そこで、同組織は、”サイバーセクターのゲームチェンジャー” として、CVSS 4.0を発表した。
FIRST の CEO である Chris Gibson は、「CVSS システムは、この 18年間で急速に発展し、サイバー犯罪から身を守る能力を、それぞれのバージョンごとに高めてきた。CVSS-SIG がバージョン 4.0 を作成するために費やした努力と献身を、とても誇りに思う。世界中で脅威が大幅に増加し続けている現在において、CVSS-SIG がバージョン 4.0 を作成したことは、時宜を得たものだ」と述べている。
彼は、「この会員制組織の目標は、この分野に力を与え、リーダーシップを発揮することで、世界中の人々をサイバー攻撃から守るための協調を、継続的に改善することに全力を尽くすことだ」と付け加えている。
なお、2022年に FIRST は、米国の CISA コミュニティで機密情報を共有する際に使用される、Traffic Light Protocol (TLP) 標準の最新版 TLP 2.0 も発表している。
ついに CVSS 4.0 が登場しました。まだ、詳細については確認していませんが、お隣のキュレーション・チームでは調査を始めているとのことでした。CVSS 3.1 に関しては、多くの脆弱性のスコアが高くなりすぎて、優先して対応すべき脆弱性分かりにくいという問題があります。それが 4.0 で、どのように改善されるのか、とても楽しみです。よろしければ、MITRE で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.