[ Japanese | English ]
	




















   目次[top]

   概要[top]
CVSS
CVSS (Common Vulnerability Scoring System) [1][2][3][4] は、 脆弱性そのものの特性を評価する基準 (基本評価基準: Base Metrics)、 攻撃コードの出現有無や対策情報が利用可能であるかといった脆弱性の現在の深刻度を評価する基準 (現状評価基準: Temporal Metrics) 、 攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準 (環境評価基準: Environmental Metrics) を用いて脆弱性の深刻度を包括的かつ汎用的に評価する手法です。
[1] FIRST Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss/
[2] NIST: National Vulnerability Database CVSS Scoring, http://nvd.nist.gov/cvss.cfm
[3] CVSSを用いた脆弱性評価の検討, 情報処理学会 コンピュータセキュリティ シンポジウム 2006 (Oct.25-27, 2006)
[4] 情報処理推進機: 共通脆弱性評価システムCVSSについて, http://www.ipa.go.jp/security/vuln/SeverityCVSS.html

   CVSS Calculator[top]
CVSS V1.0 Calculator for Server Version (Ver1.0)
CVSS V1.0 Calculator を実行する。
Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish

CVSS V1.0 Calculator は、次のファイル群から構成されています。
ファイル名説明
CVSSv1.htmlScoreCalc.js を呼び出す HTML ファイル
ScoreCalc.jsScoreCalc.swf を呼び出す JavaScript ファイル
ScoreCalc.swfCVSS V1.0 Calculator for Server Version 本体 (この ScoreCalc.swf は、jvnrss サイト専用です)
parameter.xmlCVSS V1.0 Calculator (ScoreCalc.swf) の表示言語用のパラメタファイルであり、UTF-8 で記述します。
[ 記述例: Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish ]

謝辞
JVNRSS Feasibility Study Team は下記の協力して下さった方々に深い謝意を表します。:
  • Spanish: parameter.xml のスペイン語翻訳支援 paco 氏.
  • Chinese: parameter.xml の中国語翻訳支援 CNCERT/CC.
    CNCERT/CC
  • Korean: parameter.xml の韓国語翻訳支援 KrCERT/CC.
    KrCERT/CC
  • Portuguese: parameter.xml のポルトガル語翻訳支援 Antonio Marques 氏.
    Faculdade de Engenharia da Universidade do Porto
  • Dutch: parameter.xml のオランダ語翻訳支援 Arjen de Landgraaf 氏. [ E-Secure-IT ]

parameter.xml
Parameter description file for CVSS V1.0 Calculator.

CVSS V1.0 Calculator for Server Version (Ver1.0) (cont.)
デモをみる。
Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish

デモでは、基本評価基準、現状評価基準、環境評価基準から算出される値が最大値となるよう ScoreCalc.swf のパラメタを次のように設定しています。
"ScoreCalc.swf ?name=CVE-9999-9999-Example &vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) &temp=(E:H/RL:U/RC:C) &env=(C:H/T:H) &g=999"
パラメタ説明
?name=CVE-9999-9999-Example脆弱性の識別子あるいは番号
&vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)CVSS 基本評価基準のパラメタ [仕様]
&temp=(E:H/RL:U/RC:C)CVSS 現状評価基準のパラメタ [仕様]
&env=(C:H/T:H)CVSS 環境評価基準のパラメタ [仕様]
&g=999CVSS Calculator のテーマ (表示の変更)
0: 円グラフ
1: 棒グラフ 1
2: 温度計
3: 棒グラフ 2
4: 審判
5: ガスメータ
6: スロットメータ
7: スタンプ
8: バルーンメータ
9: パッティング
10: ボーリング
11: 空手
上記以外: ランダムに選択する

CVSS V1.0 Calculator for Server Version (Ver1.0) (cont.)
CVSSv1 CGI を使ってみる。
Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish

CVSSv1 CGI (cvss1.cgi) は、name=value を設定して ScoreCalc.swf を起動します。
"cvss1.cgi?name=CVE-9999-9999-Example &vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) &temp=(E:P/RL:O/RC:Co) &env=(C:M/T:H) &g=999 &lang=en"
パラメタ説明
?name=CVE-9999-9999-Example脆弱性の識別子あるいは番号 (利用可能な文字 a-z, A-Z, 0-9, マイナス)
&vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)CVSS 基本評価基準のパラメタ [仕様]
&temp=(E:H/RL:U/RC:C)CVSS 現状評価基準のパラメタ [仕様]
&env=(C:H/T:H)CVSS 環境評価基準のパラメタ [仕様]
&g=999CVSS Calculator のテーマ (表示の変更)
0: 円グラフ
1: 棒グラフ 1
2: 温度計
3: 棒グラフ 2
4: 審判
5: ガスメータ
6: スロットメータ
7: スタンプ
8: バルーンメータ
9: パッティング
10: ボーリング
11: 空手
上記以外: ランダムに選択する
&lang=enparameter.xml の言語選択
cn: Chinese
nl: Dutch
en: English
de: German
ja: Japanese
ko: Korean
pt: Portuguese
es: Spanish

CVSS V1.0 Calculator for PC Version (Ver1.0)
  1. 概要
    PC Version はスタンドアローンでの使用を想定したものです。

  2. ライセンス
    General License in Feasibility Study Site for JVNRSS and RSS Extension

  3. ダウンロード
    PC Version (Ver1.0) [ cvss1.0calc_forPC_1.0.zip (rev20070430) ]
        MD5 = B4 B4 1A DA B0 CF 99 73 37 34 AB AF C7 B6 22 8C
       SHA1 = 2214 1E24 5C0C CD4E 4108 4744 3961 00C8 C821 C193
     RMD160 = 2AC1 7D1D C6D2 97A5 469E FE92 4441 EB8A 4A0C FBAD
     SHA256 = ED541736 6BDD52F9 C4DC0106 824C6EBE
              1B1769AA 210F97FA 8FE75CD3 3D2FE1AE
     SHA384 = 1929355E 978D4F39 FB0C29D9 5B54CB21
              EFCF15CA 9E60E2E7 F68E3DA8 ED6A5D1D
              37DFF38D DDFFC626 7348046D 5F4E0DCD
     SHA512 = 7E5249B6 9F67A7B1 15D9AF9C 8CD3EF0D
              26BF7520 395DBFD4 CE37E911 1182BF81
              137DF584 5B91683C E561909B 36363A2E
              244A4CE5 7CFCDBBE B43BE331 E6322A6E
    

   CVSS Calculator のパラメタ[top]
注: 現在の CVSS Calculator のパラメタ仕様は、調査研究用に作成したものです。 今後、標準的な仕様をパラメタ仕様として採用していく予定です。 [1][2]
CVSS 基本評価基準 (Base Metrics)

CVSS 基本評価基準のパラメタ指定は次の通りです。
vector=(AV:[R,L]/AC:[H,L]/Au:[R,NR]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]/B:[N,C,I,A])

パラメタAV = AccessVector  攻撃元区分
選択値R = Remote  リモートから脆弱性を攻撃可能
L = Local  ローカルでのみ脆弱性を攻撃可能
 
パラメタAC = Access Complexity  攻撃条件の複雑さ
選択値H = High  攻撃条件の複雑さが高い
L = Low  攻撃条件の複雑さが低い
 
パラメタAu = Authentication  攻撃前の認証要否
選択値R = Required  攻撃にあたり認証操作が必要
NR = Not Required  攻撃にあたり認証操作が不要
 
パラメタC = Confidentiality Impact  機密性への影響(情報漏えいの可能性)
選択値N = None  影響はない
P = Partial  部分的な影響に留まる
C = Complete  全面的な影響を受ける
 
パラメタI = Integrity Impact  完全性への影響(情報改ざんの可能性)
選択値N = None  影響はない
P = Partial  部分的な影響に留まる
C = Complete  全面的な影響を受ける
 
パラメタA = Availability Impact  可用性への影響(業務停止の可能性)
選択値N = None  影響はない
P = Partial  部分的な影響に留まる
C = Complete  全面的な影響を受ける
 
パラメタB = Impact Bias  機密性/完全性/可用性の重み付け
選択値N = Normal  全て同じ重みである
C = Confidentiality  機密性への影響度大
I = Integrity  完全性への影響度大
A = Availability  可用性への影響度大
 
CVSS 現状評価基準 (Temporal Metrics)

CVSS 現状評価基準のパラメタ指定は次の通りです。
temp=(E:[U,P,F,H]/RL:[O,T,W,U]/RC:[U,Co,C])

パラメタE = Exploitability  攻撃される可能性
選択値U = Unproven  現実的な攻撃手法は存在しない
P = Proof-of-concept  実証コードが存在
F = Functional  有効な攻撃コードが存在
H = High  脆弱性への攻撃が極めて容易
 
パラメタRL = Remediation Level  利用可能な対策のレベル
選択値O = Official-fix  公式な正式対策を利用可能
T = Temporary-fix  公式な暫定対策を利用可能
W = Workaround  非公式な解決法を利用可能
U = Unavailable  利用可能な解決策がない
 
パラメタRC = Report Confidence  脆弱性情報の信頼性
選択値U = Unconfirmed  未確認の情報源のみ
Co = Uncorroborated  複数の非公式情報で確証済み
C = Confirmed  開発者が情報を確認済み
 
CVSS 環境評価基準 (Environmental Metrics)

環境評価基準のパラメタ指定は次の通りです。
env=(C:[N,L,M,H]/T:[N,L,M,H])

パラメタC = Collateral Damage Potential  二次的被害の可能性
選択値N = None  二次的被害は発生しない
L = Low  軽微な被害や損失が発生
M = Medium  重大な被害や損失が発生
H = High  壊滅的な被害や損失が発生
 
パラメタT = Target Distribution  影響を受ける対象システムの範囲
選択値N = None (0%)  影響を受けるシステムなし
L = Low (1-15%)  影響は小規模に留まる
M = Medium (16-49%)  影響は中規模に及ぶ
H = High (50-100%)  影響は大規模に及ぶ
 
[1] NIST: National Vulnerability Database CVSS Scoring, http://nvd.nist.gov/cvss.cfm?vectorinfo
[2] NIST: CVSS v2 Vector Definitions, http://nvd.nist.gov/cvss.cfm?vectorinfov2

   JVNRSS と CVSS との連携について[top]
Collaboration passibilities bewteen JVNRSS and CVSS.
[1] OVAL: Open Vulnerability and Assessment Language, http://oval.mitre.org/
[2] Feasibility Study of OVAL based Vulnerability Management Extension, SIGIIV Activity Product Security Teams Meeting (November 14-16, 2005), http://www.first.org/vendor-sig/pstm-2005-11.html#p6
[3] マルチベンダ環境の情報システムを対象とした脆弱性管理システムの検討, 情報処理学会 コンピュータセキュリティ シンポジウム 2005 (Oct.26-28, 2005)

   更新履歴[top]
  • 新規: 2006-09-17T23:33+09:00
  • parameter.xml スペイン語版リリース: 2006-10-05T22:49+09:00
  • リンク "NIST CVSS v2 Vector Definitions" 追加: 2006-10-08T11:09+09:00
  • parameter.xml 中国語版リリース: 2006-10-10T15:02+09:00
  • parameter.xml 韓国語版リリース: 2006-10-11T18:29+09:00
  • 説明図 "parameter.xml" 追加: 2006-10-13T16:34+09:00
  • セクション "JVNRSS と CVSS との連携について" 追加: 2006-10-13T16:34+09:00
  • SIG_rdf sign を用いて parameter.xml に署名: 2006-10-14T17:30+09:00
  • CVSS V1.0 PC Version (Ver1.0 rev20061014) リリース: 2006-10-29T16:22+09:00
  • CVSSv1 CGI リリース:2006-11-10T11:07+09:00
  • CVSS V1.0 PC Version (Ver1.0 rev20061113) リリース: 2006-11-13T22:39+09:00
  • parameter.xml ポルトガル語版リリース: 2007-02-15T21:26+09:00
  • CVSS V1.0 PC Version (Ver1.0 rev20070215) リリース: 2007-02-15T21:26+09:00
  • CVSS V1.0 Server Version 新テーマ(10.ボーリング)追加: 2007-03-10T12:31+09:00
  • CVSS V1.0 Server Version 新テーマ(11.空手)追加: 2007-03-25T01:09+09:00
  • parameter.xml ドイツ語版リリース: 2007-04-21T02:30+09:00
  • parameter.xml オランダ語版リリース: 2007-05-01T00:14+09:00
  • CVSS V1.0 PC Version (Ver1.0 rev20070430) リリース: 2007-02-15T21:26+09:00
  • 改訂 (index.02.html).: 2007-06-15T10:35+09:00

	

Last updated: 2007-06-15T10:35+09:00
Valid HTML 4.01! Valid CSS!