ニュース

NTTデータ先端技術、「セキュリティ情報配信サービス」にCVSS Base Scoreを追加

 NTTデータ先端技術株式会社は25日、ソフトウェアなどに関する脆弱性情報、セキュリティ事件の情報などを提供する「セキュリティ情報配信サービス」について、世界共通で用いられているシステム脆弱性深刻度評価(CVSS Base Score)を追加し、1月28日に提供を開始すると発表した。

 NTTデータ先端技術の「セキュリティ情報配信サービス」は、多様なOS/ソフトウェアに対応した脆弱性情報の配信、および不正アクセス監視情報の統計・解説情報を、顧客専用ポータルサイトおよびメールで提供し、CSIRT活動の1つである「セキュリティ関連情報収集」を支援するサービス。

 新たに追加したCVSS Base Scoreは、Forum of Incident Response and Security Teams(FIRST)が管理しているシステム脆弱性深刻度の指標。システムに求められる3つのセキュリティ特性である「機密性(正当なユーザーだけがアクセスできる)」「完全性(情報が正確である)」「可用性(必要な時に利用可能な状態になっている)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価・算出される。算出される影響度は各項目0~10の値で表示され、数値が大きくなるごとに深刻度が増す。

 世界標準であるCVSS Base Scoreを参照できるようになることで、ベンダーや人の知識・経験に依存することなく、システムの脆弱性深刻度を確認できる。

 CVSS評価には、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価する「CVSS v2」と、さらに評価項目が追加された「CVSS v3」がある。CVSS v3では、攻撃を実行する際に必要となる「必要な特権レベル」の評価、攻撃を実行する際に“攻撃対象のユーザーが何もしなくても攻撃可能か、あるいは特定のURLのクリックなど、何かしらの行動が必要か”といった「ユーザー関与レベル」などの評価項目が追加され、システム単位のみならずコンポーネントまで細分化して評価できる。

 機能追加では、CVSS v2とCVSS v3の双方に対応し、脆弱性を悪用された場合におよぶ影響を事故発生前に確認・対応できるほか、事故発生時の迅速な原因究明・対処など、日々進化するさまざまな脅威に対応できるとしている。

 また、CVSS Base Scoreの値とひも付く、脆弱性固有のID「CVE識別番号」を合わせて提供。これにより、脆弱性の概要や、製品開発ベンダーサイトなど、その脆弱性に関連する情報のURLなどを参照できる。

 NTTデータ先端技術では、自社でCSIRT活動を展開するような大規模企業をはじめ、専任の情報セキュリティ組織を持たない企業まで幅広くサービスを提供していくことで、2020年度までに500社への導入を目指すとしている。