IT用語帳

CVSS(共通脆弱性評価システム)

Common Vulnerability Scoring System

しーぶいえすえす

脆弱性の深刻度を0.0〜10.0のスコアで定量的に評価するための国際的な基準。基本評価基準(脆弱性の技術的特性)、現状評価基準(攻撃コードの有無等)、環境評価基準(組織固有の影響)の3つの評価基準から構成される。
脆弱性評価標準セキュリティ
情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること > 脆弱性への対応

関連キーワードの用語

SCCVE

個々の脆弱性に対して一意のID(CVE-ID)を付与する、国際的な脆弱性識別の仕組み。MITRE社が管理し、脆弱性情報の共有や対策の標準化に貢献する。CVE-ID(例: CVE-2024-12345)により脆弱性を一意に特定できる。

SCCWE(共通脆弱性タイプ一覧)

ソフトウェア及びハードウェアの脆弱性の種類を体系的に分類・一覧化した国際的な基準。JVNなどの脆弱性対策ポータルサイトで採用されている。バッファオーバーフロー、SQLインジェクションなどの脆弱性タイプを識別子で管理する。

SCSCAP

セキュリティの設定確認や脆弱性評価を自動化するための標準仕様群。NISTが策定し、CVE、CVSS、CPE(共通プラットフォーム一覧)、CWEなどの個別規格を組み合わせて、セキュリティ対策の自動化と標準化を実現する。

SCSTIX/TAXII

STIX(Structured Threat Information eXpression)は脅威情報を構造化して記述するための形式。TAXII(Trusted Automated eXchange of Indicator Information)はSTIXで記述された脅威情報を自動的に交換するためのプロトコル。組織間でのサイバー脅威情報の共有に活用される。

SCISMAP(政府情報システムのためのセキュリティ評価制度)

政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度。ISMAP-LIUはリスクの小さいSaaSサービスを対象とした制度。

SCJIS(日本産業規格)

産業標準化法に基づいて制定される日本の国家規格。情報セキュリティ分野では、JIS Q 27001(ISMS要求事項)、JIS Q 27002(管理策の実践規範)、JIS Q 31000(リスクマネジメント)などが重要である。