NVD の提供する CVSS データの利用方針の変更について
お客様各位
2025年1月17日
NVD の提供する CVSS データの利用方針の変更について
日頃は、SIDfm をご利用頂き誠にありがとうございます。
SIDfm の脆弱性情報コンテンツで NVD の CVSS データを利用する際の方針を変更することとなりましたので、概要と変更内容についてご案内させていただきます。
SIDfm では製品ベンダから CVSS データの提供されない場合、脆弱性の CVSS データとして NVD の提供する CVSS データを利用しており、NVD から提供される CVSS データを月曜日から金曜日の午前8時頃に SIDfm へインポートし、CVSS データを更新しています。
その際に、参照する NVD の CVSS 評価は NIST 評価のスコアを採用しておりましたが、昨今 NIST の評価に遅れが生じており、CVSS が未評価となるデータが増加しています。
NVD の CVSS 評価は NIST 評価の他に、ベンダなど MITER 社によって CVE の発行を許可された組織である CNA (※1) あるいは CVE レコードを充実させる組織である ADP (※2) による評価があるため、こちらのスコアを利用することを検討し、変更することといたしました。
- 変更内容
- NVD CNA 評価の CVSS データの採用と優先順位
変更前)
製品ベンダの評価 > NVD NIST の評価
変更後)
製品ベンダの評価 > NVD CNA あるいは ADP の評価 > NVD NIST の評価
※検討の結果、NIST よりも CNA の評価の方がより精緻な値であると判断したため、上記優先度で採用することとしました。 - 変更範囲
- 方針変更開始日以降に新規で配信する脆弱性情報コンテンツから適用します。
※過去のコンテンツに対しては、CNA の評価に更新しません。 - 変更開始日
- 2025年1月20日より
ご不明な点がございましたら、以下ヘルプデスクよりサポートまでお問合せください。
https://sid-fm.com/support/helpdesk/
※1:CNA(CVE Numbering Authoritie)
https://www.cve.org/ProgramOrganization/CNAs
※2:ADP(Authorized Data Publisher)
https://www.cve.org/ProgramOrganization/ADPs
以上