| 講演抄録/キーワード |
| 講演名 |
2024-03-22 15:45
ソフトウェア脆弱性リスクの時間変化モデルのCVSS4評価基準への対応 岡田宇宙・○蓑原 隆・島川昌也(拓殖大) CPSY2023-47 DC2023-113 |
| 抄録 |
(和) |
情報システムを管理する者は管理対象のシステムに関するセキュリティ脆弱性情報に注意し適切に対策を施さなければならない.しかしセキュリティ脆弱性の報告件数の増加に伴い対策実施
にかかる時間も増大しており,効率的な対策を行うには,リスクを評価し対策実施の優先順位をつける必要がある.このとき,脆弱性発見から攻撃手法の確立そして攻撃実行という時間経過を考えると,リスク評価は時間経過に対する変化を考慮しなければならない.
脆弱性リスクの評価基準として共通脆弱性評価システム(CVSS)が使われているが,時間的な変化に十分に対応しているとは言えない.我々は,脆弱性リスクの時間的変化について脆弱性情報の共通IDであるCVEの予約時刻と情報公開時刻の差に注目した脆弱性リスク成長モデルを提案している.このモデルはCVSS 3.1に基づいているが,今後の脆弱性の評価は,2023年に決定された CVSS 4.0 に移行していくと考えられる.そこで,本研究では,脆弱性リスク成長モデルをCVSS 4.0 に対応させるための検討を行った.また,CVSS 4.0の評価例に適用した結果についても報告する. |
| (英) |
Information system administrators must pay attention to system vulnerability information and take appropriate measures against security attacks on the systems they manage. However, as the number of security vulnerability reports increases, the time required to implement vulnerability remediation also increases, therefore vulnerability risks must be assessed and prioritized. Especially in the early stages of vulnerability discovery, such as zero-day attacks, the risk assessment must consider changes over time,since it takes time for the attack and countermeasures to spread.
The Common Vulnerability Scoring System (CVSS) is used widely for vulnerability risk assessment, but it cannot be said that it can sufficiently cope with temporal changes of risk of attacks. We have proposed a software vulnerability risk growth model that focuses on the difference between the reservation time and the publication time of CVEs. The model is based on CVSS version 3.1, but the official specification of CVSS version 4.0 was published in 2023. CVSS 3.1 will be replaced by version 4.0 in the near future. In this study, we examined how to adapt our vulnerability risk growth model to CVSS 4.0. We also report the results of applying the model to CVSS 4.0 examples. |
| キーワード |
(和) |
ソフトウェア脆弱性 / リスク評価 / 共通脆弱性評価システム / 時間依存性 / / / / |
| (英) |
Vulnerability / Risk assessment / CVE / CVSS / Time dependency / / / |
| 文献情報 |
信学技報, vol. 123, no. 451, DC2023-113, pp. 53-58, 2024年3月. |
| 資料番号 |
DC2023-113 |
| 発行日 |
2024-03-14 (CPSY, DC) |
| ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
| PDFダウンロード |
CPSY2023-47 DC2023-113 |
| 研究会情報 |
| 研究会 |
DC CPSY IPSJ-SLDM IPSJ-EMB IPSJ-ARC |
| 開催期間 |
2024-03-21 - 2024-03-23 |
| 開催地(和) |
壱岐の島ホール |
| 開催地(英) |
Ikinoshima Hall |
| テーマ(和) |
組込み技術とネットワークに関するワークショップ ETNET2024 |
| テーマ(英) |
ETNET2024 |
| 講演論文情報の詳細 |
| 申込み研究会 |
DC |
| 会議コード |
2024-03-DC-CPSY-SLDM-EMB-ARC |
| 本文の言語 |
日本語 |
| タイトル(和) |
ソフトウェア脆弱性リスクの時間変化モデルのCVSS4評価基準への対応 |
| サブタイトル(和) |
|
| タイトル(英) |
Software Vulnerability Risk Growth Model for CVSS 4 Metrics |
| サブタイトル(英) |
|
| キーワード(1)(和/英) |
ソフトウェア脆弱性 / Vulnerability |
| キーワード(2)(和/英) |
リスク評価 / Risk assessment |
| キーワード(3)(和/英) |
共通脆弱性評価システム / CVE |
| キーワード(4)(和/英) |
時間依存性 / CVSS |
| キーワード(5)(和/英) |
/ Time dependency |
| キーワード(6)(和/英) |
/ |
| キーワード(7)(和/英) |
/ |
| キーワード(8)(和/英) |
/ |
| 第1著者 氏名(和/英/ヨミ) |
岡田 宇宙 / Sora Okada / オカダ ソラ |
| 第1著者 所属(和/英) |
拓殖大学 (略称: 拓殖大)
Takushoku University (略称: Takushoku Univ.) |
| 第2著者 氏名(和/英/ヨミ) |
蓑原 隆 / Takashi Minohara / ミノハラ タカシ |
| 第2著者 所属(和/英) |
拓殖大学 (略称: 拓殖大)
Takushoku University (略称: Takushoku Univ.) |
| 第3著者 氏名(和/英/ヨミ) |
島川 昌也 / Masaya Shimakawa / シマカワ マサヤ |
| 第3著者 所属(和/英) |
拓殖大学 (略称: 拓殖大)
Takushoku University (略称: Takushoku Univ.) |
| 第4著者 氏名(和/英/ヨミ) |
/ / |
| 第4著者 所属(和/英) |
(略称: )
(略称: ) |
| 第5著者 氏名(和/英/ヨミ) |
/ / |
| 第5著者 所属(和/英) |
(略称: )
(略称: ) |
| 第6著者 氏名(和/英/ヨミ) |
/ / |
| 第6著者 所属(和/英) |
(略称: )
(略称: ) |
| 第7著者 氏名(和/英/ヨミ) |
/ / |
| 第7著者 所属(和/英) |
(略称: )
(略称: ) |
| 第8著者 氏名(和/英/ヨミ) |
/ / |
| 第8著者 所属(和/英) |
(略称: )
(略称: ) |
| 第9著者 氏名(和/英/ヨミ) |
/ / |
| 第9著者 所属(和/英) |
(略称: )
(略称: ) |
| 第10著者 氏名(和/英/ヨミ) |
/ / |
| 第10著者 所属(和/英) |
(略称: )
(略称: ) |
| 第11著者 氏名(和/英/ヨミ) |
/ / |
| 第11著者 所属(和/英) |
(略称: )
(略称: ) |
| 第12著者 氏名(和/英/ヨミ) |
/ / |
| 第12著者 所属(和/英) |
(略称: )
(略称: ) |
| 第13著者 氏名(和/英/ヨミ) |
/ / |
| 第13著者 所属(和/英) |
(略称: )
(略称: ) |
| 第14著者 氏名(和/英/ヨミ) |
/ / |
| 第14著者 所属(和/英) |
(略称: )
(略称: ) |
| 第15著者 氏名(和/英/ヨミ) |
/ / |
| 第15著者 所属(和/英) |
(略称: )
(略称: ) |
| 第16著者 氏名(和/英/ヨミ) |
/ / |
| 第16著者 所属(和/英) |
(略称: )
(略称: ) |
| 第17著者 氏名(和/英/ヨミ) |
/ / |
| 第17著者 所属(和/英) |
(略称: )
(略称: ) |
| 第18著者 氏名(和/英/ヨミ) |
/ / |
| 第18著者 所属(和/英) |
(略称: )
(略称: ) |
| 第19著者 氏名(和/英/ヨミ) |
/ / |
| 第19著者 所属(和/英) |
(略称: )
(略称: ) |
| 第20著者 氏名(和/英/ヨミ) |
/ / |
| 第20著者 所属(和/英) |
(略称: )
(略称: ) |
| 第21著者 氏名(和/英/ヨミ) |
/ / |
| 第21著者 所属(和/英) |
(略称: )
(略称: ) |
| 第22著者 氏名(和/英/ヨミ) |
/ / |
| 第22著者 所属(和/英) |
(略称: )
(略称: ) |
| 第23著者 氏名(和/英/ヨミ) |
/ / |
| 第23著者 所属(和/英) |
(略称: )
(略称: ) |
| 第24著者 氏名(和/英/ヨミ) |
/ / |
| 第24著者 所属(和/英) |
(略称: )
(略称: ) |
| 第25著者 氏名(和/英/ヨミ) |
/ / |
| 第25著者 所属(和/英) |
(略称: )
(略称: ) |
| 第26著者 氏名(和/英/ヨミ) |
/ / |
| 第26著者 所属(和/英) |
(略称: )
(略称: ) |
| 第27著者 氏名(和/英/ヨミ) |
/ / |
| 第27著者 所属(和/英) |
(略称: )
(略称: ) |
| 第28著者 氏名(和/英/ヨミ) |
/ / |
| 第28著者 所属(和/英) |
(略称: )
(略称: ) |
| 第29著者 氏名(和/英/ヨミ) |
/ / |
| 第29著者 所属(和/英) |
(略称: )
(略称: ) |
| 第30著者 氏名(和/英/ヨミ) |
/ / |
| 第30著者 所属(和/英) |
(略称: )
(略称: ) |
| 第31著者 氏名(和/英/ヨミ) |
/ / |
| 第31著者 所属(和/英) |
(略称: )
(略称: ) |
| 第32著者 氏名(和/英/ヨミ) |
/ / |
| 第32著者 所属(和/英) |
(略称: )
(略称: ) |
| 第33著者 氏名(和/英/ヨミ) |
/ / |
| 第33著者 所属(和/英) |
(略称: )
(略称: ) |
| 第34著者 氏名(和/英/ヨミ) |
/ / |
| 第34著者 所属(和/英) |
(略称: )
(略称: ) |
| 第35著者 氏名(和/英/ヨミ) |
/ / |
| 第35著者 所属(和/英) |
(略称: )
(略称: ) |
| 第36著者 氏名(和/英/ヨミ) |
/ / |
| 第36著者 所属(和/英) |
(略称: )
(略称: ) |
| 講演者 |
第2著者 |
| 発表日時 |
2024-03-22 15:45:00 |
| 発表時間 |
25分 |
| 申込先研究会 |
DC |
| 資料番号 |
CPSY2023-47, DC2023-113 |
| 巻番号(vol) |
vol.123 |
| 号番号(no) |
no.450(CPSY), no.451(DC) |
| ページ範囲 |
pp.53-58 |
| ページ数 |
6 |
| 発行日 |
2024-03-14 (CPSY, DC) |
|