脆弱性のリスクを把握することは、影響の確認や対処方法の検討などの優先順位を付ける上で重要です。
SIDfm VM では脆弱性のリスクを把握するための評価指標として SRI, CVSS を使用することができます。CVSS の基本評価基準は「脆弱性そのものの特性」だけを評価するものに対して、SRI はその他に、実際のホストの利用環境の違いによる評価や、攻撃コードの出現有無や対策情報の利用可能性といった現状を表す評価を加味した指標となっております。実際に、CSIRT が組織のリスク評価を行う際に判断するものと同等な指標となります。この SRI 指標値は、SIDfm 脆弱性アナリストがコンテンツ登録時に十分な考察のもとで決定されています。これによって、リアルタイムに組織に最も大きな影響を与える脆弱性を特定することができます。

SRI 指標は、SIDfm 脆弱性データベースのコンテンツを作成しているメーカーだからこそ、提供できるものです。他社の脆弱性スキャナーをベースとする管理製品では、独自の脆弱性データベースを有していないため、NVD データ等の CVSS 基本値しか使用できないため、その後、環境等に応じた脆弱性のリスク評価を行うための作業タスクが必要となります。コンテンツメーカーであり、ツール開発メーカーである SIDfm の強みがここにあります。

SRI を用いたリスク評価の特徴

• SIDfm 独自の評価指標
• 設置場所・使用方法を考慮した評価
• シンプルな 4 段階評価
• 脆弱性コンテンツ登録時に評価

CVSS を用いたリスク評価の特徴

• 公開された仕様に基づいた脆弱性の評価指標
• Cisco など大手ベンダが評価として使用
• 0.0 ～ 10.0 の数値で評価
• CVSS 評価の提供時期は不確定