Zoom’s Bug-Scoring System Prioritizes Riskiest Vulns for Cyber Teams
2023/12/14 DarkReading — ビデオ・カンファレンスを提供する Zoom のサイバーセキュリティ・チームが、脆弱性に関する新たなスコアリング・システムを展開し、危険な脅威に対する優先的なリソースの割り当てを効率化すると述べている。
この Vulnerability Impact Scoring System (VISS) とは、Zoom が所有し無償で提供されるオープン・フレームワークであり、現時点のバージョンは 1.0 であるという。この VISS は、従来からの CVSS スコアリングを補完し、ある脆弱性が組織に与える潜在的な影響を判断することで、サイバーセキュリティ・チームによるパッチ適用および防御の改善を目的としている。
Zoom は、「VISS は、それぞれの脆弱性の影響を 13種類の側面から分析し、プラットフォーム/インフラ/データなどに応じた影響のグループに区分する。VISS の計算によりスコアは 0〜100 の間で生成され、そのスコアに対して補償コントロール・メトリックを適用することで、修正することも可能である」と述べている。
この、新たなスコアリング・システムの有効性をテストするため、HackerOne を通じて実施したバグバウンティ・プログラムにおいて、Zoom は 2023年3月〜12月の期間で VISS 計算式を使用している。Dark Reading に提供された、同プロジェクトの声明によると、Critical と評価された深刻な脆弱性の報告数は 28% 増加し、High の脆弱性 12% 急増した。また、同期間における Medium の脆弱性の件数は 57% も減少しているという。
Zoom の声明には、「これまでの1年間において展開プロジェクトは、脆弱性スコアリングへの画期的なアプローチを通じて、よりセキュアなデジタル環境のための、対策の強化を目的としている。VISS は、ユーザーフレンドリーな Web_based UI を提供するものであり、また、理論的なセキュリティ影響の可能性よりも、現実に実証された影響を優先する、高度なアルゴリズムを提供する」と記されている。
Zoom が、脆弱性に関する新たな測定値として、Vulnerability Impact Scoring System (VISS) を提案するという、とても興味深い展開です。このフィールドにおける、いまの状況というと、11月1日に CVSS 4.0 が正式にリリースされたばかりであり、お隣のキュレーション・チームも、その対応策を考えている状況のようです。とは言え、実際に CVSS 4.0 を使う脆弱性情報が出てこないことには、具体策も定まらないというのが正直なところだと、言っていました。その他にも、個々の脆弱性の外的な要員に注目する EPSS もあり、なかなかの賑わいを見せています。
IoT OT Security News 
You must be logged in to post a comment.