日々多様化するサイバー攻撃から自社システムを守るためには、企業の情報システム部門やセキュリティの専門家がシステムの脆弱性深刻度とその対応の緊急性について共通の認識をもつ必要がある。しかし従来、これらはベンダーが固有で算出した値を用いられることが多く、人によって深刻度の認識にばらつきが生じるという課題があった。
NTTデータ先端技術は、2012年5月から一般企業向けに「セキュリティ情報配信サービス」の提供を開始し、CSIRT活動の1つである「セキュリティ関連情報収集」の支援を行ってきた。同サービスは、多様なOS/ソフトウェアに対応した脆弱性情報の配信、不正アクセス監視情報の統計・解説情報を顧客専用ポータルサイト、メールで提供し、CSIRT活動の1つである「セキュリティ関連情報収集」を支援するサービスだ。
今回、これまでの課題を解決するべく、セキュリティ情報配信サービスに対して世界共通指標であるCVSS Base Scoreを追加することにした。
CVSS Base Scoreには、システム単位で評価する「CVSS v2」と、攻撃の難易度と攻撃を受けた場合に影響がおよぶ範囲をコンポーネント単位で評価する「CVSS v3」の2種類がある。これら双方が確認できるようになることで、利用者は脆弱性を悪用された際におよぶリスク(深刻度)を把握でき、事故発生前の対応と事故発生時の迅速な原因究明・対処など、日々進化する様々な脅威に対応することが可能になる。
従来は各ベンダーが独自で算出しているシステム脆弱性深刻度について、今回CVSS Base Scoreを実装したことで、自社システムの脆弱性がどの程度か、どの程度緊急で対応するべきかを、企業のシステム管理者やユーザー問わず共通認識が持てる。そのため、セキュリティ脅威に対して迅速かつ適切な対応判断ができるようになると同社は説明する。
NTTデータ先端技術は、このサービスの提供により、2020年度までに500社への導入を目指す。