脆弱性診断 SCT SECURE の危険度の考え方について

簡単な設定のみで手軽にサーバーのセキュリティ診断が開始できる SCT SECURE クラウドスキャンの『危険度』の考え方についてご紹介します。
SCT SECURE ではインターネット上に公開されたサーバーに対してリモートから診断を実施することで、攻撃者と同じ目線で欠陥（脆弱性）を見つけることが可能です。
診断で見つかった脆弱性はその悪用のしやすさ等によって、高・中・低・情報の4段階の危険度に分類され報告されますが、SCT SECURE では「CVSS」と「PCI-DSS 基準」から危険度を分類しています。

CVSS とは個々の脆弱性がどれくらい危険であるか、を汎用的に評価する為に用いられる計算手法です。
脆弱性を利用する際の複雑さや悪用ツールが出回っているか、攻撃に権限が必要となるか、等の観点からスコアリングを行い、脆弱性がどの程度危険かを評価することで対応の優先度付けに役立てることが可能です。
SCT SECURE でもこの計算手法に基づき、CVSS スコア 7.0~10.0 を高、4.0~6.9 を中、0.1~3.9 を低、0.0 を情報として分類していますが、CVSS スコアに加え、PCI-DSS 基準も危険度へ反映させています

PCI-DSS とはクレジットカード業界で使用されるセキュリティ基準です。
SCT SECURE は PCI-DSS 準拠に必要な ASV 認定を受けた診断エンジンを使用することで、PCI-DSS 基準のセキュリティを提供しています。
PCI-DSS 基準で対応が必須とされているセキュリティ要件に合致する場合には、CVSS スコアの値に関わらず、高い危険度に分類される可能性があります。

上記のように、SCT SECURE では複合的な判断基準によって危険度を分類していますので、より現実的な優先度付けにお役立てください。

お読みいただきありがとうございました。

参照：
情報処理推進機構：共通脆弱性評価システムCVSS v3概説
日本カード情報セキュリティ協議会：PCIDSSとは