CVSSのスコアは脆弱性の危険度(どの脆弱性を優先して直すか)を測る基準として相応しいのでしょうか?
CVSSはおおよそ03.9なら安全、46.9なら注意が必要、7~10は非常に危険、という感じで脆弱性の危険度を測ることが多いと思います。
しかし、このスコアが本当に信頼できるものなのか疑問なのです。
CVSSの各スコアは「攻撃区分」などのパラメーターを決めることで値が上下します。
例えば「攻撃区分」をローカルからネットワークに変更すると1前後値が変化します。
この「1」にはどのような理由があるのでしょうか?
私としてはいい加減な理由で、この変化が決められているように感じます。
私の調べた限りでは、この攻撃区分の変化が全体(0.0~10.0)の中で1前後を占める理由がどこにも示されていない気がします。
また、個々のシステムの状況によって、ローカルかネットワークかはまったく重要度が異なるとも考えます。
もちろんこれは環境評価基準を使用しても同様かと考えます。
そして各パラメーターのスコアの積み上げで最終的なスコアが決まるというのも、低いスコアが安全であるという理由になっていない気がします。
CVSSは平均的な状況下での、おおよその脆弱性の危険度を示しているとは思いますが、自分のシステムに対する危険度は(例え環境評価基準であっても)示せないのではないでしょうか?
これらの理由から、システムの脆弱性対応の優先度をCVSSを元に行うことについて疑問に思いました(多くの企業ではCVSSを元に対応を決めていると聞いています)。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。