CVSS

情報システムを守るには、様々な脅威への対策が必要です。中でも、システムの弱点は、攻撃されやすい場所であるため、適切な対策が欠かせません。しかし、弱点の深刻さは様々で、全ての弱点に同じだけの手間をかけるのは、あまり良い方法とは言えません。深刻な弱点から優先的に対策を行うことが重要です。 そこで、弱点の深刻さを測り、優先順位をつけるための共通の物差しが必要となります。例えるなら、健康診断の数値のように、客観的な指標で弱点の深刻さを判断する必要があるのです。そのための指標として、世界中で広く使われているのが共通脆弱性評価システム、略してシーブイエスエスです。この指標を使うことで、組織は限られた人員や予算を有効に使い、最も深刻な弱点から対策を進めることができます。 シーブイエスエスは、様々な要素を数値化することで、弱点の深刻さを評価します。例えば、攻撃のしやすさ、攻撃の影響範囲、情報漏えいの可能性などが考慮されます。これらの要素を組み合わせ、総合的な点数で弱点の深刻さを表すため、組織はどの弱点から対策すべきかを判断しやすくなります。 この指標は、組織内だけでなく、組織間での情報共有にも役立ちます。共通の物差しを使うことで、異なる組織間でも弱点に関する情報を正確に共有できます。例えば、ある組織で発見された深刻な弱点を他の組織に伝える際に、シーブイエスエスを用いてその深刻さを伝えれば、受け取った組織も迅速に適切な対策を講じることができます。このように、シーブイエスエスは、情報システム全体の安全性を高める上で、非常に重要な役割を担っています。