更新:2024/12/28

CVSSとは何か?ゆるーくわかりやすく解説

はるか
はるか
CVSSって知ってる?
ふゅか
ふゅか
うん!脆弱性の深刻度を数値で評価する国際規格でしょ?でも、どうしてそれが必要なの?
はるか
はるか
リスクを定量的に共通基準で評価する。

1. CVSSの要点

CVSSとは・・・

  • 脆弱性の評価指標の一つ。
  • 共通脆弱性評価システムとも呼ばれる
  • Common Vulnerability Scoring Systemの略

1.1. 英語から推測すると

「Common Vulnerability Scoring System」を英語から直訳すると、「共通脆弱性評価システム」となります。

  • Common:共通の
  • Vulnerability:脆弱性
  • Scoring System:評価(スコアリング)システム

つまり、これは脆弱性(セキュリティ上の弱点や欠陥)を共通の基準に基づいて評価し、その深刻度をスコアとして表す仕組みを指します。

2. CVSSとは何か?

CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)は、コンピュータシステムやソフトウェアに存在する脆弱性(セキュリティ上の弱点)の重大度を評価するための国際標準規格です。このスコアリングシステムは、脆弱性の深刻度を数値化することで、エンジニアやセキュリティ担当者がリスクを迅速かつ客観的に判断し、優先的に対応すべき問題を明確にするために役立ちます。

3. CVSSの概要

CVSSは、脆弱性に関連するさまざまな要素を分析して、0.0(最低)から10.0(最高)の範囲でスコアを算出します。このスコアは、脆弱性の「深刻度」を示し、以下の3つのメイン指標(メトリクス)によって構成されています。

3.1. 基本評価基準(Base Metrics)

「脆弱性そのものの特性」を評価する項目です。基本評価基準は、環境やシステムに依存せず、以下のような要素を基にスコアを計算します。

  • 攻撃元(Attack Vector, AV)
    攻撃を実行するときに、どの範囲から攻撃することができるのかを評価する。たとえば、リモートから攻撃可能なのか、ローカルな物理アクセスが必要なのかを評価します。
  • 攻撃の複雑さ(Attack Complexity, AC)
    攻撃を成功させるためにどの程度の条件が必要か。たとえば、特定の設定やユーザー操作が必要かどうかを判断します。
  • 認証要否(Authentication)
    攻撃を成功させるためにどのレベルの認証が必要であるのか。

攻撃が成功した場合の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)への影響を評価します。

はるか
はるか
基本評価基準は、脆弱性そのものを評価。環境に依存しない。
ふゅか
ふゅか
例えば、リモートから攻撃できるとか、物理アクセスが必要とか、そういうこと?

3.2. 現状評価基準(Temporal Metrics)

基本評価基準に加えて、時間による要因(たとえば、攻撃コードが公開されているか、修正プログラムが存在するかなど)を考慮します。

  • 攻撃される可能性(Exploitability, E)
    脆弱性を悪用する攻撃コードの入手可能性。
  • リメディエーションの可用性(Remediation Level, RL)
    脆弱性を修正するための対応状況。
  • レポートの信頼性(Report Confidence, RC)
    脆弱性の情報がどの程度正確であるか。

3.3. 環境評価基準(Environmental Metrics)

影響を受ける組織やシステムの特定の条件を考慮します。このメトリクスは、脆弱性の影響度が環境によって異なることを反映しています。

4. CVSSスコアの分類

CVSSスコアは以下のように分類されます。これにより、脆弱性の深刻度を直感的に理解できます。

スコア範囲 深刻度
0.0 情報(None)
0.1~3.9 低(Low)
4.0~6.9 中(Medium)
7.0~8.9 高(High)
9.0~10.0 クリティカル(Critical)

たとえば、スコアが9.8の場合、その脆弱性はシステムに重大な影響を与える可能性が高く、早急な対応が必要だと判断されます。

PR