シスコなど3社、脆弱性に関する共通の評価システムを立ち上げへ

　サンフランシスコ発--Cisco Systems、Symantec、Qualysの3社が、セキュリティ脆弱性の評価システムを共同で立ち上げる。この取り組みを通して、3社は企業各社に対して、どのソフトウェアの問題に先に対処するべきかの目安となる情報を提供していくことになった。

　セキュリティ情報を提供するQualysの最高技術責任者（CTO）Gerhard Eschelbeckによると、この評価は3つの数字で示されることになるという。

　このうちの1つ目は脆弱性の深刻度に関する基本的な情報。2つ目は脆弱性が見つかってからの経過時間を元に出した評価で、その脆弱性を修正するパッチを適用している企業の割合を予測して示す。そして、3つ目はその脆弱性が特定の企業ネットワークに与える脅威の程度を測るものとなる。これら3つの数字は、それぞれ5つから6つの要素を考慮して割り出される。

　3社はこのシステムの最初のバージョンを米国時間17日に発表する予定だと、Eschelbeckは述べた。3社は、BugTraqのような脆弱性追跡サービスがこのアプローチを使って、ソフトウェアのバグが見つかった場合にその深刻度を評価するよう提案している。企業各社はこの評価を元に自社ネットワークに対するリスクの程度を割り出したり、脆弱性の影響を受けるソフトウェアにどれほど自社が依存しているかといった要素に応じて、脆弱性に対する独自の評価を下したりすることができる。

　「このシステムでは3つの数字で脆弱性の深刻度を表すが、顧客企業は最終的には特定の数字をチェックするようになるだろう。そのため、自社がどれほど危険にさらされているかを即座に判断できる」（Eschelbeck）

　またユーザーは、この評価システムを使うことにより、WindowsやLinux、Mac OS Xなどのように、異なるコンピュータプラットフォームで見つかった脆弱性の深刻度を比較することが可能になる。