CVSS (Common Vulnerability Scoring System)

セキュリティ事業部

CVSS (Common Vulnerability Scoring System)

CVSSは、共通脆弱性評価システムとも呼ばれ、脆弱性の主要な特徴を評価し、その深刻度を数値化する手法です。そのスコアから、更に深刻度について、低(Low)、中(Medium)、高(High)、緊急(Critical)のような定性的な評価を得ることができます。CVSSは、FIRST(Forum of Incident Response and Security Teams)と呼ばれる団体のCVSS-SIG(Special Interest Group)[1]で管理、適用推進、及び仕様改善が行われています。2019年現在で最新バージョンは3.1となっています。

CVSSでは、以下の3つの基準に関して、脆弱性の深刻度を定量的に評価します。
・基本評価基準
・現状評価基準
・環境評価基準

基本評価基準では、脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性である、機密性、完全性、可用性に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値を算出します。現状評価基準では、脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値を算出します。環境評価基準では、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS環境値を算出します。

各基準においては、更に詳細な区分に分割で評価が行われ、各値が算出されます。算出方法は、IPA (Information technology Promotion Agency)のサイト[2]を参照することができます。

[1] https://www.first.org/cvss/
[2] https://www.ipa.go.jp/security/vuln/CVSS.html