JVNRSS: CVSS

[ Japanese | English ]

JVNRSS
Home
+main
JVNRSS Activity
+CVE+
+CVSS
+RSS_dir
+SIG_rdf
+TRnotes
+XSL_swf
Specification
+JVNJS
+JVNRSS
+RSS mod_sec
+VULDEF
Tools
+toolbox
Documents
+docbox

関連サイト
IPA/ISEC JPCERT/CC JVN JVN 試行サイト JVN iPedia

[top]

概要
CVSS Calculator
CVSS Calculator のパラメタ
更新履歴 < 最新ドキュメント >

概要

[top]

CVSS (Common Vulnerability Scoring System) [1][2][3][4] は、脆弱性そのものの特性を評価する基準 (基本評価基準: Base Metrics)、攻撃コードの出現有無や対策情報が利用可能であるかといった脆弱性の現在の深刻度を評価する基準 (現状評価基準: Temporal Metrics) 、攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準 (環境評価基準: Environmental Metrics) を用いて脆弱性の深刻度を包括的かつ汎用的に評価する手法です。

[1] FIRST Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss/
[2] NIST: National Vulnerability Database CVSS Scoring, http://nvd.nist.gov/cvss.cfm
[3] CVSSを用いた脆弱性評価の検討, 情報処理学会コンピュータセキュリティシンポジウム 2006 (Oct.25-27, 2006)
[4] 情報処理推進機: 共通脆弱性評価システムCVSSについて, http://www.ipa.go.jp/security/vuln/SeverityCVSS.html

CVSS Calculator

[top]

CVSS V1.0 Calculator for Server Version (Ver1.0)

CVSS V1.0 Calculator を実行する。
Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish
CVSS V1.0 Calculator は、次のファイル群から構成されています。

ファイル名説明

CVSSv1.html ScoreCalc.js を呼び出す HTML ファイル

ScoreCalc.js ScoreCalc.swf を呼び出す JavaScript ファイル

ScoreCalc.swf CVSS V1.0 Calculator for Server Version 本体 (この ScoreCalc.swf は、jvnrss サイト専用です)

parameter.xml CVSS V1.0 Calculator (ScoreCalc.swf) の表示言語用のパラメタファイルであり、UTF-8 で記述します。
[ 記述例: Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish ]

謝辞
JVNRSS Feasibility Study Team は下記の協力して下さった方々に深い謝意を表します。:
Spanish: parameter.xml のスペイン語翻訳支援 paco 氏.
Chinese: parameter.xml の中国語翻訳支援 CNCERT/CC.

Korean: parameter.xml の韓国語翻訳支援 KrCERT/CC.

Portuguese: parameter.xml のポルトガル語翻訳支援 Antonio Marques 氏.

Dutch: parameter.xml のオランダ語翻訳支援 Arjen de Landgraaf 氏. [ E-Secure-IT ]

parameter.xml

CVSS V1.0 Calculator for Server Version (Ver1.0) (cont.)

デモをみる。
Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish
デモでは、基本評価基準、現状評価基準、環境評価基準から算出される値が最大値となるよう ScoreCalc.swf のパラメタを次のように設定しています。
"ScoreCalc.swf ?name=CVE-9999-9999-Example &vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) &temp=(E:H/RL:U/RC:C) &env=(C:H/T:H) &g=999"

パラメタ説明

?name=CVE-9999-9999-Example 脆弱性の識別子あるいは番号

&vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) CVSS 基本評価基準のパラメタ [仕様]

&temp=(E:H/RL:U/RC:C) CVSS 現状評価基準のパラメタ [仕様]

&env=(C:H/T:H) CVSS 環境評価基準のパラメタ [仕様]

&g=999 CVSS Calculator のテーマ (表示の変更)
0: 円グラフ
1: 棒グラフ 1
2: 温度計
3: 棒グラフ 2
4: 審判
5: ガスメータ
6: スロットメータ
7: スタンプ
8: バルーンメータ
9: パッティング
10: ボーリング
11: 空手
上記以外: ランダムに選択する

CVSS V1.0 Calculator for Server Version (Ver1.0) (cont.)

CVSSv1 CGI を使ってみる。
Chinese | Dutch | English | German | Japanese | Korean | Portuguese | Spanish
CVSSv1 CGI (cvss1.cgi) は、name=value を設定して ScoreCalc.swf を起動します。
"cvss1.cgi?name=CVE-9999-9999-Example &vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) &temp=(E:P/RL:O/RC:Co) &env=(C:M/T:H) &g=999 &lang=en"

パラメタ説明

?name=CVE-9999-9999-Example 脆弱性の識別子あるいは番号 (利用可能な文字 a-z, A-Z, 0-9, マイナス)

&vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) CVSS 基本評価基準のパラメタ [仕様]

&temp=(E:H/RL:U/RC:C) CVSS 現状評価基準のパラメタ [仕様]

&env=(C:H/T:H) CVSS 環境評価基準のパラメタ [仕様]

&g=999 CVSS Calculator のテーマ (表示の変更)
0: 円グラフ
1: 棒グラフ 1
2: 温度計
3: 棒グラフ 2
4: 審判
5: ガスメータ
6: スロットメータ
7: スタンプ
8: バルーンメータ
9: パッティング
10: ボーリング
11: 空手
上記以外: ランダムに選択する

&lang=en parameter.xml の言語選択
cn: Chinese
nl: Dutch
en: English
de: German
ja: Japanese
ko: Korean
pt: Portuguese
es: Spanish

CVSS V1.0 Calculator for PC Version (Ver1.0)

概要
PC Version はスタンドアローンでの使用を想定したものです。
ライセンス
General License in Feasibility Study Site for JVNRSS and RSS Extension

ダウンロード
PC Version (Ver1.0) [ cvss1.0calc_forPC_1.0.zip (rev20070430) ]

    MD5 = B4 B4 1A DA B0 CF 99 73 37 34 AB AF C7 B6 22 8C
   SHA1 = 2214 1E24 5C0C CD4E 4108 4744 3961 00C8 C821 C193
 RMD160 = 2AC1 7D1D C6D2 97A5 469E FE92 4441 EB8A 4A0C FBAD
 SHA256 = ED541736 6BDD52F9 C4DC0106 824C6EBE
          1B1769AA 210F97FA 8FE75CD3 3D2FE1AE
 SHA384 = 1929355E 978D4F39 FB0C29D9 5B54CB21
          EFCF15CA 9E60E2E7 F68E3DA8 ED6A5D1D
          37DFF38D DDFFC626 7348046D 5F4E0DCD
 SHA512 = 7E5249B6 9F67A7B1 15D9AF9C 8CD3EF0D
          26BF7520 395DBFD4 CE37E911 1182BF81
          137DF584 5B91683C E561909B 36363A2E
          244A4CE5 7CFCDBBE B43BE331 E6322A6E

CVSS Calculator のパラメタ

[top]

注: 現在の CVSS Calculator のパラメタ仕様は、調査研究用に作成したものです。今後、標準的な仕様をパラメタ仕様として採用していく予定です。 [1][2]

CVSS 基本評価基準 (Base Metrics)

CVSS 基本評価基準のパラメタ指定は次の通りです。
vector=(AV:[R,L]/AC:[H,L]/Au:[R,NR]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]/B:[N,C,I,A])

パラメタ AV = AccessVector    攻撃元区分

選択値 R = Remote    リモートから脆弱性を攻撃可能

L = Local    ローカルでのみ脆弱性を攻撃可能

パラメタ AC = Access Complexity    攻撃条件の複雑さ

選択値 H = High    攻撃条件の複雑さが高い

L = Low    攻撃条件の複雑さが低い

パラメタ Au = Authentication    攻撃前の認証要否

選択値 R = Required    攻撃にあたり認証操作が必要

NR = Not Required    攻撃にあたり認証操作が不要

パラメタ C = Confidentiality Impact    機密性への影響(情報漏えいの可能性)

選択値 N = None    影響はない

P = Partial    部分的な影響に留まる

C = Complete    全面的な影響を受ける

パラメタ I = Integrity Impact    完全性への影響(情報改ざんの可能性)

選択値 N = None    影響はない

P = Partial    部分的な影響に留まる

C = Complete    全面的な影響を受ける

パラメタ A = Availability Impact    可用性への影響(業務停止の可能性)

選択値 N = None    影響はない

P = Partial    部分的な影響に留まる

C = Complete    全面的な影響を受ける

パラメタ B = Impact Bias    機密性／完全性／可用性の重み付け

選択値 N = Normal    全て同じ重みである

C = Confidentiality    機密性への影響度大

I = Integrity    完全性への影響度大

A = Availability    可用性への影響度大

CVSS 現状評価基準 (Temporal Metrics)

CVSS 現状評価基準のパラメタ指定は次の通りです。
temp=(E:[U,P,F,H]/RL:[O,T,W,U]/RC:[U,Co,C])

パラメタ E = Exploitability    攻撃される可能性

選択値 U = Unproven    現実的な攻撃手法は存在しない

P = Proof-of-concept    実証コードが存在

F = Functional    有効な攻撃コードが存在

H = High    脆弱性への攻撃が極めて容易

パラメタ RL = Remediation Level    利用可能な対策のレベル

選択値 O = Official-fix    公式な正式対策を利用可能

T = Temporary-fix    公式な暫定対策を利用可能

W = Workaround    非公式な解決法を利用可能

U = Unavailable    利用可能な解決策がない

パラメタ RC = Report Confidence    脆弱性情報の信頼性

選択値 U = Unconfirmed    未確認の情報源のみ

Co = Uncorroborated    複数の非公式情報で確証済み

C = Confirmed    開発者が情報を確認済み

CVSS 環境評価基準 (Environmental Metrics)

環境評価基準のパラメタ指定は次の通りです。
env=(C:[N,L,M,H]/T:[N,L,M,H])

パラメタ C = Collateral Damage Potential    二次的被害の可能性

選択値 N = None    二次的被害は発生しない

L = Low    軽微な被害や損失が発生

M = Medium    重大な被害や損失が発生

H = High    壊滅的な被害や損失が発生

パラメタ T = Target Distribution    影響を受ける対象システムの範囲

選択値 N = None (0%)    影響を受けるシステムなし

L = Low (1-15%)    影響は小規模に留まる

M = Medium (16-49%)    影響は中規模に及ぶ

H = High (50-100%)    影響は大規模に及ぶ

[1] NIST: National Vulnerability Database CVSS Scoring, http://nvd.nist.gov/cvss.cfm?vectorinfo
[2] NIST: CVSS v2 Vector Definitions, http://nvd.nist.gov/cvss.cfm?vectorinfov2

JVNRSS と CVSS との連携について

[top]

Collaboration passibilities bewteen JVNRSS and CVSS.

[1] OVAL: Open Vulnerability and Assessment Language, http://oval.mitre.org/
[2] Feasibility Study of OVAL based Vulnerability Management Extension, SIGIIV Activity Product Security Teams Meeting (November 14-16, 2005), http://www.first.org/vendor-sig/pstm-2005-11.html#p6
[3] マルチベンダ環境の情報システムを対象とした脆弱性管理システムの検討, 情報処理学会コンピュータセキュリティシンポジウム 2005 (Oct.26-28, 2005)

更新履歴

[top]

新規: 2006-09-17T23:33+09:00
parameter.xml スペイン語版リリース: 2006-10-05T22:49+09:00
リンク "NIST CVSS v2 Vector Definitions" 追加: 2006-10-08T11:09+09:00
parameter.xml 中国語版リリース: 2006-10-10T15:02+09:00
parameter.xml 韓国語版リリース: 2006-10-11T18:29+09:00
説明図 "parameter.xml" 追加: 2006-10-13T16:34+09:00
セクション "JVNRSS と CVSS との連携について" 追加: 2006-10-13T16:34+09:00
SIG_rdf sign を用いて parameter.xml に署名: 2006-10-14T17:30+09:00
CVSS V1.0 PC Version (Ver1.0 rev20061014) リリース: 2006-10-29T16:22+09:00
CVSSv1 CGI リリース：2006-11-10T11:07+09:00
CVSS V1.0 PC Version (Ver1.0 rev20061113) リリース: 2006-11-13T22:39+09:00
parameter.xml ポルトガル語版リリース: 2007-02-15T21:26+09:00
CVSS V1.0 PC Version (Ver1.0 rev20070215) リリース: 2007-02-15T21:26+09:00
CVSS V1.0 Server Version 新テーマ(10.ボーリング)追加: 2007-03-10T12:31+09:00
CVSS V1.0 Server Version 新テーマ(11.空手)追加: 2007-03-25T01:09+09:00
parameter.xml ドイツ語版リリース: 2007-04-21T02:30+09:00
parameter.xml オランダ語版リリース: 2007-05-01T00:14+09:00
CVSS V1.0 PC Version (Ver1.0 rev20070430) リリース: 2007-02-15T21:26+09:00
改訂 (index.02.html).: 2007-06-15T10:35+09:00

Last updated: 2007-06-15T10:35+09:00