-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
CVSSとは、コンピューターシステムやソフトウェアにおけるセキュリティ脆弱性の深刻度を評価・定量化するために用いられるフレームワークです。「Common Vulnerability Scoring System」の頭字語であり、日本語には「共通脆弱性評価システム」と訳されています。
CVSSでは、複数の基準に基づいて脆弱性に0〜10.0の深刻度スコアが付けられます。数字が大きくなるほど深刻度が高く、小さくなるほど深刻度が低いという評価になります。また、スコアに応じて以下5種類の定性的評価区分も定義されています。
<スコアに応じた定性的評価区分>
- Critical(緊急):9.0~10.0
- High(重要):7.0~8.9
- Medium(警告):4.0~6.9
- Low(注意):0.1~3.9
- None(なし):0.0
スコア算出にあたっては統一された評価指標と計算式が定義されているため、ベンダーに依存しない汎用的な深刻度比較が可能となっています。ただし、評価基準や計算式はCVSSのバージョンによって少しずつ異なります。
最初のバージョンのCVSS(CVSS v1)は、2005年6月に公開されました。以降、これまでにいくつかのバージョンのCVSSが公開されており、最新版はバージョン4.0(CVSS v4.0)となっています。ただし、最新版への移行は段階的に進められている最中であり、現在もバージョン3.1を採用しているベンダーやサービスは数多く存在します。
<CVSSのバージョン履歴>
- 初代(CVSS v1):2005年6月公開
- バージョン2(CVSS v2):2007年6月公開
- バージョン3.0(CVSS v3.0):2015年6月公開
- バージョン3.1(CVSS v3.1):2019年6月公開
- バージョン4.0(CVSS v4.0):2023年11月公開
各CVSSバージョンの公開に伴い、脆弱性評価の基準・計算方法には段階的に変更が加えられてきました。特にバージョン4.0では、基準に大きな変更があります。バージョン3.1までは「基本評価基準(Base Metrics)」、「現状評価基準(Temporal Metrics)」、「環境評価基準 (Environmental Metrics)」の3つの基準グループで構成されていました。一方、バージョン4.0では評価構造が再編され、これが以下4つの基準グループに再編・拡張されています。なお各基準グループの下には、さらに細かく複数の基準が定義されています。
<CVSS v4.0における4つの基準グループ>
- 基本評価基準(Base Metrics):脆弱性そのものの特性を評価する基準
- 脅威基準(Threat Metrics):脆弱性の現在の深刻度を評価する基準
- 環境評価基準 (Environmental Metrics):ユーザーの利用環境も含め、最終的な脆弱性の深刻度を評価する基準
- 補足評価基準(Supplemental Metrics):スコア算出には直接用いられないが、脆弱性対応を行う上で有用となる情報を提供する基準
このうち、基本評価基準から算出される「Baseスコア」を基礎とし、必要に応じて脅威の状況や利用環境を考慮した評価を行うことができます。一般的に公開されるのはBaseスコアであることがほとんどです。
CVSSの管理団体であるFIRSTは、各バージョンに対応した公式スコア計算ツール(Calculator)を公開しています。これを利用することで、各評価項目がスコアにどのように影響するかを確認することが可能です。また、バージョン3.1までについては、JVN iPediaのWebサイト上で日本語版の計算ツールを利用することも可能です。
CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザー等の間で、脆弱性に関して共通の尺度を用いた議論を行うことも可能になっています。
