『サイバー攻撃』2

<『サイバー攻撃』2>
図書館で『サイバー攻撃』という新書を手にしたが・・・
このところの米中、日中の安全保障の状況が。サイバー攻撃の真最中ということではないだろうか。



【サイバー攻撃】


中島明日香著、講談社、2018年刊

<「BOOK」データベース>より
あらゆる機器がネットワークにつながるようになった今、誰しもサイバー攻撃と無関係ではいられない。重要な情報を守るためには、それを狙うハッカーたちの手口を理解する必要がある。彼らが攻撃の糸口にする「システムの脆弱性」とは何か?脆弱性を突くサイバー攻撃はどのようなものか?国際的に活躍する情報セキュリティ研究者がその原理から対策までを平易に解説。

<読む前の大使寸評>
このところの米中、日中の安全保障の状況が。サイバー攻撃の真最中ということではないだろうか。

rakutenサイバー攻撃



この本で、「第2章 サイバー攻撃は防げるか」(続き)を見てみましょう。
p39~41
<脆弱性の深刻度>
 脆弱性情報データベースでは、脆弱性の識別番号や概要とともに、その深刻度が掲載されていることがあります。ひと口に脆弱性と言っても、おの深刻さはさまざまです。

 たとえば、限定的な条件下でないと攻撃が成功しないうえ、攻撃が成功したとしても攻撃者にできることが限られている脆弱性の場合、深刻度は低いと言えます。逆に、どのような条件下でも攻撃が成功するうえ、攻撃が成功した場合あらゆる操作が可能になるような脆弱性は、深刻度が高いと言えます。

 このような脆弱性の特徴とその深刻度を統一的に評価する手法として、共通脆弱性評価システム(Common Vulnerability Scoring System、CVSS)が存在します。CVSSは2005年に策定され、必要に応じて評価基準などが改定されており、現在は3つ目のバージョンにあたるCVSSv3まで出ています。

 CVSSv3では、脆弱性の深刻度を「基本評価基準」「現状評価基準」「環境評価基準」の3つの基準で評価します。これらの基準の違いを以下で説明します。
(中略)

 個々の評価基準で算出された深刻度は0(低)~10.0(高)の数値で表されます。ここで、CVSSv3の基本評価基準で算出された深刻度の具体例を示しましょう。(表2-2)。
 これは。2016年に、有名なWebブラウザであるGoogle Chromeに発見された脆弱性、CVE-2016-1645の例です。

 この脆弱性は、Google Chrome上でPDF(文書ファイルの形式)に埋め込まれた特定の形式の画像を操作する処理に潜んでいました。この脆弱性を悪用すると、細工されたファイルを開くだけで攻撃が成功してしまうので、深刻度は8.8と高く算出されます。


『サイバー攻撃』1

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント