NVDとは【用語集詳細】
NVDはNational Vulunerability Databaseの略であり、米国国立標準技術研究所(NIST)が運営する脆弱性データベースです。
公開された脆弱性をSCAPに基づいて数値化し、CVEとして整理し、脆弱性管理やセキュリティ監査などに活用できるよう整備しています。
NISTは、公開情報を元に、MITREが割り当てた脆弱性情報でありCVEを分析し、CWE、CPEの決定とCVSS算出をおこないます。
各CVEの分析は、以下の手法で実施されます。
- 脆弱性に関する公開情報を元に、その性質や危険性、影響度などを分析します。
- 脆弱性がどのような種類に属するかを分析し、MITREと連携しCWEを割り当てます。
- 公開情報を元に、CVSSを算出します。
- 脆弱性が該当するソフトウェアやハードウェアに関する情報を共有するCPEを割り当てます。
- 審査を受けた後、当該CVEに関する情報を公開します。
