独立行政法人情報処理推進機構(IPA)は、ソフトウェア製品の脆弱性の深刻度評価に、CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)を採用している。
CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法。特定のベンダーに依存しない共通の評価方法として、脆弱性の深刻さを、製品利用者やSI事業者、製品開発者などが、同一の基準の下で定量的に比較できる。
IPAは新バージョンであるCVSS v2の公開を受け、脆弱性対策情報の公表ページ、および、JVN iPediaでの深刻度評価をCVSS v2へ移行した。
CVSS v2の主な特徴は、脆弱性の深刻度の分布を改善した点。CVSS利用者が脆弱性への対応の緊急度を、より迅速に意思決定しやすくなった。
【参考】 脆弱性の深刻度評価の新バージョンCVSS v2への移行について(セキュリティセンター/IPA)
