Slide 5
Slide 5 text
Copyright © 2022 by Future Corporation Confidential
- 5 -
現在行われている脆弱性の判断は、以下の様なものが多い
◼ CVSS Base Scoreが8.0以上のものはすべて対応
➢ HIGH, CRITICALで対応、も同様
◼ ニュースなどで話題になったものは対応する
これらは以下の問題を含みます
◼ システム自体への影響度は示していない
➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない
◼ 実際のリスクを反映していない
➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している
✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない
◼ 対応のガイドを示さない
➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある