Zoom Vulnerability Impact Scoring System、略してVISSは、理論的なセキュリティ影響の可能性よりも実際に実証された影響を優先する脆弱性スコアリングの新しいアプローチに基づいて、組織のセキュリティ対策を支援することを目的としている。
過去1年間に開発され、この頃オープンソース化されたVISSは、最悪のシナリオに焦点を当てず、防御者の視点から脆弱性の影響をより客観的に測定しようとする点で、共通脆弱性評価システム(CVSS)とは異なる。この目的のため、VISSはWebベースのUIを提供し、プラットフォーム、インフラ、データグループに分類されたいくつかのパラメータに基づいて脆弱性スコアを計算する。これらのパラメータには、プラットフォームへの影響、影響を受けるテナントの数、データへの影響など13の側面が含まれる。
/filters:no_upscale()/news/2023/12/zoom-vulnerability-score-viss/en/resources/1zoom-viss-1703622066341.jpg)
補完統制指標 (Compensating Controls metrics)を使用するVISSのスコアは調整可能で、環境オーナーが個々のリスクプロファイルと許容度に応じて柔軟にスコアを調整できる。
Zoomはバグ報奨金プログラムの報酬を評価するツールとしてVISSを導入し、提出されたレポートの質に顕著な影響を与えた。
具体的な影響を与える可能性の低い脆弱性に、限られた貴重なリソースを集中させるのではなく、VISSは積極的に環境を保護し、組織にもっとも影響を与える可能性の高い脆弱性に優先順位をつけられる。
VISSには、レポートの約50%が中程度の重大度に分類され、低重度と高重度のレポートがそれぞれ約25%を占めるというスムーズなスコア分布を提供するように調整されたデフォルト構成が付属している。この構成はユーザーの要求に応じて変更できる。
VISSはCVSSに取って代わるものではなく、むしろCVSSを補完して追加の評価視点を提供するものである点に注目したい。