analysis

CVSS、CVE

 

脆弱性評価の指標の一つであるCVSSについて解説します。

 

CVSSとは

 

CVSSは日本語では共通脆弱性評価システムと言い、ITの脆弱性および影響を与えるためのオープンフレームワークが提供される。

簡単に言ってしまえば危険度の採点。

NVDによって管理されている。

 

CVE(共通脆弱性識別子)とは

 

CVE(Common Vulnerabilities and Exposures)は日本語では共通脆弱性識別子と言う。

情報セキュリティにおける脆弱性やインシデントに固有の番号をつけて共有する仕組。

米国政府の支援を受けた非営利団体のMITREが採番している。

 

CVEの見方

 

CVEは以下のように表される

 

CVE-2017-13001

CANという頭文字がつくパターンがあるがこれは脆弱性の可能性を示す。

CVEがついているものは脆弱性が確定している。

 

CVE-2017-13001

2017の部分は脆弱性が報告された、もしくは確定した西暦

 

CVE-2017-13001

連番

 

JVN、JVN iPedia

 

どちらもJPCERT/CCとIPAが共同運営している

 

JVN

 

Japan Vulunerabilities Nodesの略

日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする。

早期の周知目的。

 

JVN ipedia

 

CVSSを採用。

脆弱性の検索に使える。

 

-analysis

© 2021 ストロテクトNote