弊社、仕事納めになりますが、納めていないというか納まっていないというか、よくわからない状態です。年が明ければ、すぐ来期の話をしなければならないと思うと、うえーい、みたいな気持ちにはなれませんね。
弊統括部のメンバーもウエーイと飲みに行ってしまうメンバーは1/3くらい?もっと少ないのかな?あとは家族のもとに返るメンバー、そして仕事にがんじがらめになっているメンバーといろいろです。
さて、本日は基礎編になります。
お題は「脆弱性について知っておくべきこと」です。
TippingPoint の担当が書いた資料を加筆修正しました。TippingPointチームはもっとアウトプットの訓練をしたほうがいいんじゃないかな。ま、基本、うちの部はその辺、どんどん鍛えていかないといけないと思います。
スライドをアップしましたのでよろしくお願いします。
幾度か脆弱性については語っておりますが、今回は:
- CVE-ID:
脆弱性の識別番号 - CVSS
脆弱性の深刻度の目安となる共通の脆弱性評価システム
についての説明にフォーカスを置いています。
脆弱性情報のサイトでよく目にするのが CVE という単語です。CVEとは Common Vulnerabilities and Exposuresの略称で、日本語では「共通脆弱性識別子」と表記されます。
CVEは米国政府の支援を受けた非営利団体のMitre Corporation (マイターコーポレーション)がソフトウェアの脆弱性を対象として運営、提供している脆弱性情報のデータベースです。
CVEでは脆弱性にユニークな識別番号 CVE-ID (CVE-登録時の西暦-連番)を付与しており、セキュリティ製品各社がそれぞれの脆弱性の識別に CVE-ID を利用しています。
CVSS とは Common Vulnerability Scoring Systemの略称で、日本語では「共通脆弱性評価システム」と表記されます。こちらは、脆弱性の深刻度を示す共通の指標です。今回はCVSSv3(バージョン3)について説明しているようです。
スライド中では、CVSSスコアについて以下のように書いてありますが、
|
スコア |
内容 |
|
9.0~10.0 |
緊急 |
|
7.0~8.9 |
重要 |
|
4.0~6.9 |
警告 |
|
0.1~3.9 |
注意 |
|
0 |
なし |
スコアだけではなく、CVSSベクタも見ていただきたいと思います。
ベクタというのは評価項目とその値、性質について簡単な文字列で表記する方法です。セキュリティのエンジニアや担当者の方は読めたほうがよいですが、都度、アンチョコを見ながら・・・でよいと思います。
これですね。
これは人間にはスカラーとベクターがいます、ということを言っているのではありません。ちなみに弊社には断然スカラーが多いのですが、まあ、言われなきゃ動かない的なのは好きじゃないですね(笑)。
以上、よろしくお願いいたします。
