CVSSとは？CVSSスコアはどのように判断すればよいでしょうか？

シグネチャ開発チーム

2024年6月10日

CVSS（Common Vulnerability Scoring System）は、サイバーセキュリティの世界で広く利用されている脆弱性の深刻度評価指標です。この指標に基づいて、脆弱性の影響範囲や悪用の難易度など、複数の要素を総合的に評価したCVSSスコアを算出します。しかし、このCVSSスコアをどのように解釈し、活用すればよいのでしょうか？本記事では、セキュリティ対策の優先順位を決定する際の重要な手がかりとなるCVSSスコアについて、基本概念から始め、その評価基準、計算方法、そしてスコアの解釈に至るまでをわかりやすく解説します。

（ CVSSは現在、3.0、3.1、4.0のバージョンがありますが、Vexは、CVSS v3.0を基準にシグネチャの危険度を設定しておりますのでCVSS v3.0を基準に執筆しております。）

CVSSスコアとは何か

CVSSスコアの概要

CVSSスコアは、脆弱性の深刻度を数値で表したものです。0から10までのスケールで表され、数値が高いほど脆弱性の深刻度が大きいことを示します。このスコアは、脆弱性がシステムに与える潜在的な影響を定量的に評価するために開発されました。セキュリティ対策の優先順位付けやリスク管理の基準として広く利用されています。

CVSSのスコアと深刻度

CVSSスコアは脆弱性の深刻度を示す重要な指標です。このスコアにより、セキュリティ担当者は脆弱性の緊急性を判断し、対応の優先順位を決定することができます。　

スコア	深刻度
0	なし
0.1〜3.9	注意
4.0〜6.9	警告
7.0〜8.9	重要
9.0〜10.0	緊急

CVSSが重視する情報セキュリティ3要素とは

CVSSでは、脆弱性が情報セキュリティの3つの基本要素に与える影響を評価します。これらは機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）です。

機密性（Confidentiality）
機密性は情報が不正に公開されないことを保証します。この要素は、個人情報や企業秘密の保護に不可欠です。
完全性（Integrity）
完全性は情報が正確で完全であることを確保します。データの不正改ざんを防ぎ、信頼を維持するために重要です。
可用性（Availability）
可用性はシステムやサービスが必要な時に利用可能であることを指します。サービス中断を防ぎ、業務の連続性を保つために重要です。

CVSSスコアの評価基準とその構成要素

CVSSスコアは、脆弱性の深刻度を評価するために、いくつかの構成要素を組み合わせて算出されます。これらの要素は、基本評価基準、現状評価基準、および環境評価基準の3つのカテゴリに分けられます。基本評価基準は脆弱性の固有の特性を評価し、現状評価基準は脆弱性の現在の状況を考慮に入れ、環境評価基準は特定の環境における脆弱性の影響を評価します。これらの評価基準を適切に組み合わせることで、脆弱性の深刻度をより正確に把握することができます。

基本評価基準（Base Metrics）

基本評価基準は、脆弱性の特性とその影響を評価するための要素です。これには攻撃ベクトル、攻撃の複雑さ、攻撃に必要な権限レベル、ユーザ関与レベル、機密性、完全性、可用性への影響が含まれます。これらの要素は、脆弱性がシステムに与える潜在的な影響の大きさと、攻撃を成功させるために必要な条件を示します。

現状評価基準（Temporal Metrics）

現状評価基準は、脆弱性の現在の状態やその変化を評価するための要素です。これには攻撃手法や攻撃コードの有無、対策の可用性、脆弱性情報の信頼性が含まれます。これらの要素は、脆弱性のリスクが時間とともにどのように変化するかを示し、対応の緊急性を判断するのに役立ちます。

環境評価基準（Environmental Metrics）

環境評価基準は、特定の環境や組織における脆弱性の影響を評価するための要素です。これには脆弱性が影響を与えるシステムの重要性や、攻撃難易度や攻撃の影響を実情に合わせて再評価することが含まれます。これらの要素は、組織固有のリスクを考慮し、脆弱性の優先順位付けを行うために重要です。

CVSSスコアの計算方法と解釈

CVSSスコアの計算方法

CVSSスコアの計算には、基本評価基準、現状評価基準、環境評価基準の3つの要素が使用されます。これらの要素を総合して、脆弱性の深刻度を数値化します。スコアの算出には公式の計算ツールが利用でき、脆弱性の特性を入力することでスコアが自動的に算出されます。正確なスコアを得るためには、詳細かつ正確な情報が必要です。

計算ツール： https://jvndb.jvn.jp/cvss/ja/v3.html

スコアからわかる脆弱性の深刻度

CVSSスコアの高低は、脆弱性の深刻度を理解するための重要な指標です。スコアが高いほど、脆弱性の潜在的な影響が大きいことを示し、迅速な対応が求められます。逆に、スコアが低い場合は、脆弱性の影響が限定的であることを示します。

スコア評価結果の適切な理解と解釈

CVSSスコアの評価結果を適切に理解し解釈することは、効果的なリスク管理に不可欠です。スコアの背景にある要因を考慮し、組織の環境やセキュリティポリシーに照らして解釈することが重要です。

まとめ

CVSSスコアを適切に理解し、解釈することは、セキュリティ対策の優先順位を決定する際に非常に重要な指標と言えます。高いスコアの脆弱性は迅速な対応が必要であり、改修における優先度を上げる等、リスク管理の計画において優先的に考慮されるべきです。CVSSスコアを活用し、セキュリティ対策を効果的に実施することで情報資産を守ることにつながるでしょう。