PCIレポートにおける「合格/不合格」のコンプライアンスステータスの判定は、PCI Security Standards Council が定めるPCI準拠基準に基づいて行われます。
各脆弱性に対して、PCI準拠サービスは NISTが提供するCVSS v2.0の基本スコア を使用し、その脆弱性が修正必須かどうかを判断します。
NISTからCVSS v2.0のスコアが提供されていない場合は、サービス側でCVSS v2.0のスコアを算出し、それを基に判定します。
ただし、「合格/不合格」の判定はCVSSスコア(危険度レベル)のみで決定するわけではありません。
脆弱性の種類によっては、CVSSスコアに関係なく「合格」と判定される場合があります。
例えば、「サービス拒否(Denial of Service: DoS)」に関する脆弱性は、CVSSスコアに関わらず PCI準拠の対象外 となるため、「合格」と判定されます。
このように、脆弱性の危険度が「中」以上であっても、その性質によっては「合格」となるケースがあります。(PCIレポートへの影響はありません)
コメント
0件のコメント
記事コメントは受け付けていません。