US-CERT から公開される Vulnerability Notes には、個々の情報に Metric と呼ばれる数字が記載されています。この数字は、脆弱性の深刻度を大まかに示す数値として 0 から 180 の間で設定され、以下のような要件で決められています。 - その脆弱性の一般への影響度または認知度 - その脆弱性を使ったインシデントの US-CERT への報告の有無 - その脆弱性の、インターネットのインフラにおける脅威の有無 - その脆弱性の脅威にさらされる、インターネット上のシステムの概数 - その脆弱性を悪用することによる影響内容 - その脆弱性を悪用することの難易度 - その脆弱性を悪用するのに必要な環境/条件 このようにして決められた Metric が 40 を超えた場合、US-CERT は、その脆弱性情報を US-CERT Technical Alerts の候補にします。ただし、数値そのものが深刻度を示すとは限らないことに注意してください。例えば、Metric 40 の情報が Metric 20 の情報に比べて 2倍深刻であるとは限らない、ということです。
参考文書(英語)
-
US-CERT Vulnerability Notes
http://www.kb.cert.org/vuls/
-
US-CERT Vulnerability Notes Field Descriptions
http://www.kb.cert.org/vuls/html/fieldhelp#metric
Weekly Report 2004-10-20号 に掲載