お客様各位

2022年9月2日

NIST (NVD) の CVSSv2 評価終了に伴う SIDfm への影響について

日頃は、SIDfm をご利用頂き誠にありがとうございます。

2022年7月13日に NIST は、新規の CVE に対する CVSSv2 の評価を終了することを発表しました。この発表によると2022年7月13日以降、NIST (NVD) は、新規の CVE に対する積極的な CVSSv2 評価を行わなくなるとのことです。

Retirement of CVSS v2 | National Institute of Standards and Technology

SIDfm では脆弱性に対する CVSS の評価を行っておらず、製品ベンダーや NIST (NVD) の提供する CVSS をインポートして使用しています。 現在、CVSSv2 スコアは、製品ベンダから提供されるアドバイザリにはほとんど含まれていないため、NIST (NVD) CVSSv2 スコアのみに依存している状況です。このため NIST (NVD) による CVSSv2 評価の終了に伴い、SIDfm においても新規の CVE に対する CVSSv2 評価が行われなくなります。

※ SIDfm の既存の CVSSv2 スコアについては、保持いたします。

SIDfm Biz/Group/RA において、CVSS バージョンを v2 に設定しているお客様におかれましては、v3 へ移行することを強く推奨します。

SIDfm Biz/Group : CVSS のバージョンを変更する | SIDfm Biz/Group ユーザガイド
SIDfm RA : CVSS のバージョンを変更する | SIDfm RA ユーザガイド

なお、SIDfm VM の CVSS スコアは、CVSSv3 がデフォルトで使用されており、CVSSv3 スコアが無い場合のみ CVSSv2 スコアが使用されているため、影響はありません。

今後とも、SIDfm をよろしくお願い致します。

以上