自身の理解のためによく聞くものだけでも、の整理
CVE(Common Vulnerabilities and Exposures)
CVEは脆弱性を識別するための共通脆弱性識別子。要するに個々の脆弱性に関してわかりやすく管理するために振られるユニークなID。
管理しているのはアメリカ政府の支援を受けている非営利団体のMITRE社。またこのCVEを採番する権利がある機関のことをCNA(CVE Numbering Authorities)と呼ぶ。
https://www.cve.org/
日本国内で報告された脆弱性を共有するためのポータルサイト。国内で提供されているソフトウェアの脆弱性情報の流通を目的にしている。
前述のCVEの運用とともパートナーシップを結んでおり、JVN内で報告された脆弱性とCVEで互換性のあるものはわかるように扱わている。
https://jvn.jp/
アメリカ国立標準技術研究所(NIST)が管理している脆弱性管理のデータベース。CVEや後述のCVSSなどが記載されるデータベースだが、2024年時点では運用が停滞している。
KEV(Known Exploited Vulnerabilities catalog)
実際に悪用が確認された脆弱性の一覧。CVEと連動して実際に悪用が発生したものを取り扱っている。
CVSS(Common Vulnerability Scoring System)
CVSSは脆弱性の深刻度に関しての指標を出すための手法。算出すされた指標の値はCVSSスコアと呼ばれる。
このCVSSスコア自体はバージョンによって異なり、現在最新のバージョンはv3となっている。
SSVC(Stakeholder-Specific Vulnerability Categorization)
CVSS同様に脆弱性を図る指標としてカーネギーメロン大学ソフトウェア工学研究所で考えられた指標。CVSSが脆弱性自体を数値化するのに対し、対応すべき方針が提示されるのが特徴
参考リンク