[ main >> CVSS ]
[ Japanese | English ]
JVNRSS
Home
  +main
JVNRSS Activity
  +CVE+
  +CVSS
  +RSS_dir
  +SIG_rdf
  +TRnotes
  +XSL_swf
  +MyJVN
Specification
  +JVNJS
  +JVNRSS
  +RSS mod_sec
  +VULDEF
Tools
  +toolbox
Documents
  +docbox
関連サイト
IPA/ISEC
JPCERT/CC


JVN
JVN 試行サイト
JVN iPedia
   目次[top]

   概要[top]
CVSS
CVSS (Common Vulnerability Scoring System) [1][2][3] は、 脆弱性そのものの特性を評価する基準 (基本評価基準: Base Metrics)、 攻撃コードの出現有無や対策情報が利用可能であるかといった脆弱性の現在の深刻度を評価する基準 (現状評価基準: Temporal Metrics) 、 攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準 (環境評価基準: Environmental Metrics) を用いて脆弱性の深刻度を包括的かつ汎用的に評価する手法です。
[1] FIRST Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss/
[2] NIST: National Vulnerability Database CVSS Scoring, http://nvd.nist.gov/cvss.cfm
[3] CVSSを用いた脆弱性評価の検討, 情報処理学会 コンピュータセキュリティ シンポジウム 2006 (Oct.25-27, 2006)
[4] 共通脆弱性評価システムCVSSの現状と展望, 電子情報通信学会 2008年 暗号と情報セキュリティシンポジウム (Jan.22-25, 2008)
[5] 情報処理推進機: 共通脆弱性評価システムCVSS v2概説, http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

   CVSS Calculator[top]
Language Translation With XML for CVSS V2.0 Calculator
Arabic | Azeri | Azeri (Cyrillic) | Chinese | Dutch | English | French | German | Japanese | Korean | Portuguese | Russian | Spanish
CVSS V2.0 Calculator for Server
CVSS V2.0 Calculator
Arabic | Azeri | Azeri (Cyrillic) | Chinese | Dutch | English | French | German | Japanese | Korean | Portuguese | Russian | Spanish
CVSS V2.0 Calculator CGI
Arabic | Azeri | Azeri (Cyrillic) | Chinese | Dutch | English | French | German | Japanese | Korean | Portuguese | Russian | Spanish

CVSSv2 CGI (cvss2.cgi) invokes ScoreCalc2.swf with a stream of name=value pairs. Parameters of cvss2.cgi are "cvss2.cgi?name=CVE-9999-9999-Example &vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:POC/RL:TF/RC:UC/CDP:L/TD:H/CR:M/IR:M/AR:H) &g=999 &lang=en"
パラメタ説明
?name=CVE-9999-9999-Example脆弱性の識別子あるいは番号 (利用可能な文字 a-z, A-Z, 0-9, マイナス)
&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C/
E:POC/RL:TF/RC:UC/
CDP:L/TD:H/CR:M/IR:M/AR:H)		CVSS 基本、現状、環境評価基準のパラメタ
[CVSS V2.0 Vector Definitions]
&g=999CVSS Calculator のテーマ (表示の変更)
d: デバック版
0: 円グラフ1
1: 棒グラフ1
2: 円グラフ2
3: 棒グラフ2
上記以外: ランダムに選択する
&lang=enparameter.xml の言語選択
ar: Arabic
cn: Chinese
de: German
en: English
es: Spanish
fr: French
ja: Japanese
kr: Korean
ru: Russian
CVSS V2.0 Calculator for PC
toolbox から CVSS Calculator をダウンロードしてください。
CVSS V2.0 Vector Definitions
評価基準の各項目は、「パラメタ名、":" (コロン)、パラメタ値」の組合せから構成し、各項目を評価基準として列挙する場合には、"/" (スラッシュ) で連結します。 もし、現状評価基準、環境評価基準を使用しない場合には、パラメタ値として "ND" (未定) を設定します。

項目記述方法
基本評価基準
(Basic)		AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]
/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]
現状評価基準
(Temporal)		E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND]
環境評価基準
(Environmental)		CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]
/CR:[L,M,H,ND]/IR:[L,M,H,ND]/AR:[L,M,H,ND]

例えば、基本評価基準の各項目として、
AV :攻撃元区分 (Access Vector) =ローカル
AC :攻撃条件の複雑さ (Access Complexity) =中
Au :攻撃前の認証要否 (Authentication) =不要
C :機密性への影響 (情報漏えいの可能性、Confidentiality Impact) =なし
I :完全性への影響 (情報改ざんの可能性、Integrity Impact) =部分的
A :可用性への影響 (業務停止の可能性、Availability Impact) =全面的
を列挙する場合には、"AV:L/AC:M/Au:N/C:N/I:P/A:C" のように構成することになります。
[1] FIRST CVSS-SIG: A Complete Guide to the Common Vulnerability Scoring System Version 2.0, http://www.first.org/cvss/cvss-guide.html#i2.4
[2] NIST NVD: CVSS v2 Vector Definitions, http://nvd.nist.gov/cvss.cfm?vectorinfov2

   更新履歴[top]
  • 新規 (index.01.html).: 2006-09-17T23:33+09:00
  • CVSS V2.0 Calculator for Server (Development Version) 追加: 2007-06-15T10:35+09:00
  • parameter2.xml ドイツ語版リリース: 2007-07-28T01:02+09:00
  • 新テーマ (2. Circle chart, 3. Bar chart) 追加: 2007-07-28T01:02+09:00
  • CVSS V2.0 Calculator for PC リリース: 2007-08-21T16:10+09:00
  • parameter2.xml フランス語版リリース: 2007-11-14T10:34+09:00
  • parameter2.xml スペイン語版リリース: 2007-11-14T10:34+09:00
  • parameter2.xml アラビア語版リリース: 2008-02-01T09:11+09:00
  • parameter2.xml 韓国語版リリース: 2009-10-30T09:00+09:00
  • parameter2.xml 中国語版リリース: 2014-06-01T10:35+09:00
  • parameter2.xml ロシア語版リリース: 2014-06-01T10:35+09:00
  • parameter2.xml アゼルバイジャン語版リリース: 2014-06-23T03:47+09:00
Last updated: 2014-06-23T03:47+09:00
Valid HTML 4.01! Valid CSS!