3Z-1
情報システムの脆弱性に対する客観的評価手法の提案
○亀谷直希,佐藤 直(情報セキュリティ大)
昨今,セキュリティに関するインシデントが数多く報告されており,自組織で管理している情報システムのインシデントが発生しないように脆弱性評価を行うことが必要不可欠であるといえる.情報システムの環境に応じた脆弱性に対する影響を評価する場合に,一般的に使用される手法として,CVSS(共通脆弱性評価システム)がある.これは,様々な企業や団体が協議して決めている評価基準である.CVSSには基本評価基準,現状評価基準,環境評価基準があり,情報システムの環境に対する脆弱性評価を実施する場合,環境評価基準を用いることになるが,主観的要素が含まれるため,評価する人によって結果が異なる可能性がある.そこで本研究では,脆弱性検査ツールの結果(攻撃成功時間)を用いて,客観的に評価値を導き出す方法を提案する.
footer 情報処理学会 セキュリティ プライバシーポリシー 倫理綱領 著作権について