NPO日本ネットワークセキュリティ協会
NPO日本ネットワークセキュリティ協会

2006年度 脆弱性定量化に向けての検討報告書
(脆弱性定量化に向けての検討ワーキンググループ)

報告書「経緯と目的」より抜粋
定量化という手法がビジネスの現場で使われる理由は、多くの判断を限られた 時間の中でスピーディに行えること、かつ、その判断についての説明責任として用いることができるからである。
脆弱性について定量化が求められる理由も同様である。定量的な数値として示されていれば、定性的な説明文をもとに比較・判断を行うことに比べて、短時間でそれを行うことが可能であろう。特に、セキュリティ関連の専門用語は、経営者や一般の社員には難解であり、システム管理者がその危険性を訴えたとしても、その切迫度を適切に伝えきれない場合がある。定量化というアプローチによって得られる「数値」という共通言語は、その溝を埋める方法論としても有効であるといえる。
本WG発足時の状況は、ベンダ各々が独自の判断で脆弱性の危険度を報告しており、同じ「危険度高」であっても、A社とB社ではその判断基準が違っていたり、判断基準そのものが公開されていないといった状況であった。このような中で、ベンダの差に依存しない脆弱性の定量化が可能なのかどうなのかということの検討をはじめたことが、本WG発足の契機であり目的であった。
目次
  • 1 はじめに
    • 1.1 経緯と目的
      1.2 WG活動の概要
      1.3 報告書の内容と基本的な考え方について
      1.4 想定する読者層
      1.5 本書で使われる用語・語句の定義
  • 2 脆弱性
    • 2.1 脆弱性とは何か
      2.2 『脆弱性』の構成要素
      2.3 本WGで定量化を目指す指標の定義
  • 3 攻撃発生のメカニズム
    • 3.1 メカニズムのモデル前提
      3.2 オブジェクト間の関係
  • 4 トリアージ値の定量化
    • 4.1 定量化に用いた数式モデル
      4.2 数値調整方法
      4.3 数値化パラメータ
      4.3.1 属性値
      4.3.2 オブジェクト間の重み
      4.4 プロトタイプ版の数値計算ツール
  • 5 トリアージ値の評価
    • 5.1 アンケート概要
      5.2 アンケート結果分析概要
      5.3 アンケート結果とトリアージ値(TV)の比較
  • 6 まとめ
脆弱性定量化に向けての検討WGメンバー(社名50音順)
WGリーダー
郷間 佳市郎(京セラコミュニケーションシステム株式会社)

ワーキンググループメンバー
小野 泰司(株式会社 IRIユビテック)
鹿児島 健(株式会社 インフォセック)
齊藤 伸雄(ウチダインフォメーションテクノロジー株式会社)
北島 健治(エス・アンド・アイ株式会社)
中嶋 一樹(住商情報株式会社)
金岡  晃(セコム株式会社)
小野  潤(大日本印刷株式会社)
川又 祥正(大日本印刷株式会社)
坂本  慶(株式会社ディアイティ)
松井 康宏(日本アイ・ビー・エム株式会社)
宮永 直樹(日本電気株式会社)
世良田 照治(日本電気株式会社)
奥原 雅之(富士通株式会社)
倉持 慎一郎(富士通サポート&サービス株式会社)
鶴田 章浩(富士通サポート&サービス株式会社)
能見 真也(富士通サポート&サービス株式会社)
伊勢 俊介(富士通サポート&サービス株式会社)
長谷川 喜也(株式会社富士通ソーシアルサイエンスラボラトリ)
伊澤  誠(マイクロ総合研究所)
中山 和郎(みずほ情報総研株式会社)
伊藤 良孝(三井物産セキュアディレクション株式会社)
後沢  忍(三菱電機株式会社)
原田 道明(三菱電機株式会社)
横山 哲也(横河電機株式会社)
横地  裕(横河電機株式会社)
岩井 博樹(株式会社ラック)
報告書のダウンロード
  • 報告書PDF (1MB)
  • アンケート結果とトリアージ値(TV)の比較 (---KB)

※Acrobat Reader 4.0以前のバージョンでは正常な表示ができない場合が
  あります。Acrobat Reader 5.0以降のバージョンでお読みください。
 http://www.adobe.co.jp/products/acrobat/readstep2.html

Copyright (C) 2000-2007 Japan Network Security Association
NPO日本ネットワークセキュリティ協会