NIST NVD CVSS4.0 公式サポートについて

NVDは、NIST(アメリカ国立標準技術研究所)が維持管理する、コンピュータのセキュリティを脅かすソフトウェアおよびハードウェアの欠陥に関する情報のリポジトリです。これは国家のサイバーセキュリティ基盤の重要な一部です。

NVDのCVSSサポート

NVDは、CVSS v3.x、v4.0をサポートしています。各脆弱性の固有の特性であるベースメトリクスのCVSS評価を提供します。各バージョンのCVSS計算機を提供しており、ユーザーがベースメトリクス以外のメトリクスを評価することができます。

CVSSの一般的な使用例には、システム上で発見された脆弱性の重大度を計算することや、脆弱性の修正活動の優先順位付けの要因として使用することがあります。国家脆弱性データベース (NVD) は、公開されたすべてのCVEレコードに対してCVSSのエンリッチメントを提供します。

CVSS v4.0は、次世代のCVSSスタンダードであり、2023年11月1日にリリースされました。CVSS v4.0は、基本的なメトリクスの粒度を高め、新しい補足メトリックグループを追加し、重大度を判断するための異なる方法論を提供します。

CVSS v4.0情報の表示

  • 脆弱性詳細ページ
    脆弱性詳細ページの「メトリクス」セクションには、CVSS v4.0データが利用可能な場合は表示されます。CVSS v4.0 のデータは、CVSS v3.x および CVSS v2.0 と同様の形式で表示され、NVD エンリッチメントまたは CVE プログラム関連のCNAとADPへの投稿を通じて入手可能な場合は表示されます。
  • CVSS v4.0 計算機
    CVSS v4.0 計算機(FIRST CVSS SIG が提供しているものをベース)がウェブサイトに追加されました。以前の計算機とは見た目が異なりますが、ページへの URL に CVE ID または CVSS ベクトル文字列パラメータを含めることなど、同じ機能があります(計算機の製品統合を参照)。
  • 脆弱性検索フォーム
    脆弱性検索ページの高度なセクションが更新され、CVSS v4.0 基準による検索が可能になりました。
  • 脆弱性検索結果
    検索結果は、適切な場合に CVSS v4.0 バッジを含めるようになりました。
  • CISA 認定データ発行者 (ADP) サポート
    2024年7月3日より、NVDはCISAのVulnrichment CVSSおよびCWE情報のデータを含めることをサポートします。

Vulnrichmentデータは、脆弱性詳細ページに表示され、NVDのエンリッチメントの取り組みやCNAによって提供された関連するCVSSデータとともに、CISA-ADP (認定データ発行者) ソースに帰属します。

CISA認定データパブリッシャー(ADP)とは

CISA は、CVE プログラム初のCVE 認定データ発行者 (ADP)です。ADP として、CISA は、CVE 採番機関 (CNA)によって発行されたCVE レコードのコンテンツに追加の関連情報 (リスク スコア、参照、脆弱性の特性、翻訳など) を追加することが許可されています。そこで 3 つのコンポーネントを提供しています。

ADP の役割は、CVE 委員会によって承認された特定の範囲内で、CVE レコードに情報要素を追加することに重点を置いています。ADP は CVE レコードの情報を増やす資格がありますが、CNA が「CNA コンテナー」に公開したデータを変更することはできません。代わりに、CVE レコードに対するすべての ADP 更新は、別の組織の「ADP コンテナー」で行われます。

ADP の目的は、脆弱性管理コミュニティに CVE レコードに関する情報を提供することで、CVE レコード情報の価値を高め強化することです。

NVDによるCISA認定データパブリッシャー(ADP)のサポート

2024年7月3日より、NVDはCISAのVulnrichment CVSSおよびCWE情報のデータを包括にサポートします。Vulnrichmentデータは脆弱性詳細ページに表示され、関連するCVSSデータとともにNVDのエンリッチメントまたはCNAによる寄稿として表示されます。この情報はNVD 2.0 APIを使用してアクセスできます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ