サイエンスパーク株式会社

サイト内検索
お問い合わせ
IoTセキュリティ記事

CVSSについて

導入文

目次

  1. CVSSとは何か?
  2. CVSSが作られた背景と歴史
  3. CVSSの要素と評価方法
  4. CVSSの利点と課題
  5. CVSSの活用
  6. まとめ

1.CVSSとは何か?

 CVSS(Common Vulnerability Scoring System)は、コンピュータシステムに存在するセキュリティの脆弱性を評価するための国際標準のスコアリングシステムです。脆弱性とは、攻撃者がシステムに侵入したり、データを盗んだりする可能性のあるセキュリティ上の欠陥を指します。

 CVSSは脆弱性の重大性を数値で表します。このスコアは0から10までの範囲で、数値が高いほど脆弱性のリスクが大きいことを意味します。

2.CVSSが作られた背景と歴史

 2000年代初頭、世界中のさまざまな組織や製品で多くのセキュリティ脆弱性が発見されていました。しかし、これらの脆弱性についての情報は組織によって報告の仕方が異なり、一貫性がありませんでした。このため、脆弱性の重大性を正確に理解し、比較することが困難でした。そこで、脆弱性に関する情報を国際的に共通の形式で報告し、理解する手助けをするためにCVSSが設計されました。
 具体的には、2004年10月に米国家インフラストラクチャ諮問委員会のプロジェクトによって原案が作成された後、管理母体として選ばれたFIRSTのCVSS-SIG(Special Interest Group)において適用推進や仕様改善が行われて、下記表のような進展を遂げてきました。

CVSSバージョンリリース日
CVSS v12005年6月
CVSS v22007年6月
CVSS v3.02015年6月
CVSS v3.12019年6月
CVSS v4.02023年11月

 現在CVSS v4.0が最新バージョンであり、こちらはv3.1と比較して以下のような特徴があります。

  • 基本評価基準の細かい粒度化
  • 下流のスコア付けの曖昧さの除去 (「スコープ」項目の除去)
  • 脅威指標の簡素化によるスコアリングへの影響向上
  • 脆弱性対応のための補助評価基準の追加
  • OT/ICS/IoTへも適用

3.CVSSの要素と評価方法

 CVSSは、脆弱性の深刻度を評価するために複数の要素を考慮します。主な要素には、基本評価基準 (Base Metrics)、現状評価基準 (Temporal Metrics)、環境評価基準 (Environmental Metrics)が含まれます。

・基本評価基準

 情報セキュリティの3要素である「機密性( Confidentiality Impact )」「完全性( Integrity Impact )」「可用性( Availability Impact )」に対する影響を評価し、CVSS基本値(Base Score)を算出します。

・現状評価基準(CVSS 4.0より脅威評価基準に改名)

 現在における深刻度を評価し、CVSS現状値(Temporal Score)を算出します。なお、この基準による評価結果は、脆弱性の対応への評価に応じて、時間の経過で変化します。

・環境評価基準

 製品を利用する側の利用環境も含めた脆弱性の最終的な深刻度を評価します。なお、この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザごとに変化します。

 CVSSの評価方法は、これらの要素を総合的に考慮して数値スコアを計算し、脆弱性の深刻度を表現します。この数値スコアを利用することで、セキュリティ専門家やシステム管理者は脆弱性に対する対策やリスク管理の優先順位を付けるのに役立ちます。

4.CVSSの利点と課題

利点

・標準化された評価

 CVSSはセキュリティ脆弱性の深刻度を数値化し、標準化された評価基準を提供します。これにより、脆弱性を容易に比較し、優先順位付けできます。

・リスクの正確な理解

 CVSSスコアは脆弱性の深刻度を示し、その脆弱性が組織やシステムに与える影響を理解するのに役立ちます。これにより、適切な対応策を講じるためのリスク評価が可能になります。

・対応の優先順位付け

 CVSSスコアを使用することで、組織はリソース(人員)を最も重要な脆弱性に割り当てることができます。これにより、リスクの高い脆弱性に対処することが優先されます。

課題

・主観的な要素の存在

 CVSSは一部のメトリクス(指標)を人為的に決定する必要があります。例えば、脆弱性の影響度や攻撃可能性を評価する際に、主観的な判断が必要となります。これにより、異なる評価者が同じ脆弱性に対して異なるスコアを与えることがあります。

・評価の限界

 CVSSはセキュリティ脆弱性の深刻度を評価するためのフレームワークですが、すべての脆弱性に対して適切な評価ができるわけではありません。特定の状況やコンテキストによっては、CVSSスコアだけでは脆弱性のリスクを正確に評価することが難しい場合があります。

・適用範囲の制限

 CVSSは特定の脆弱性に焦点を当てており、それを利用して対策を講じるための指針を提供します。しかし、システム全体のセキュリティリスクを評価するためには、CVSSだけでなく他の手法やツールも必要となる場合があります。

5.CVSSの活用

CVSSは、以下のような様々なシーンで活用されています。

・脆弱性管理

 CVSSは組織が発見したセキュリティ脆弱性の深刻度を評価するために広く使用されています。セキュリティチームはCVSSスコアを利用して、脆弱性の重要度を理解し、適切な対応策を講じることができます。

・パッチ管理

 ソフトウェアベンダーやセキュリティチームは、CVSSスコアを使用して、特定の脆弱性に対する修正やパッチの優先順位を決定します。CVSSスコアが高い脆弱性は、すぐに修正されるべきであり、緊急性の低い脆弱性はより適切なタイミングで対処されます。

・リスク管理

 組織はCVSSスコアを使用して、システムやアプリケーションに関連するリスクを評価し、優先順位付けします。これにより、組織はリソースを最も重要なリスクに割り当てることができます。

・セキュリティインシデント対応

 セキュリティインシデントが発生した際に、CVSSスコアを使用して、インシデントの深刻度を判断し、適切な対応策を講じます。より高いCVSSスコアを持つインシデントは、より迅速かつ効果的に対処されます。

・コンプライアンス

 CVSSは一般的に、セキュリティ関連の規制や標準の要件を満たすための指標として使用されます。組織はCVSSスコアを使用して、セキュリティポリシーやコンプライアンス要件を満たすことができます。

まとめ

お問い合わせ・関連リンク

 弊社、サイエンスパーク株式会社は1994年の創業より、ソフトウェア・ハードウェアのセキュリティ対策をおよそ30年に渡り続けてまいりました。
 各種製造・開発におけるセキュリティリスクの診断から対策導入・運用までのお手伝いが可能ですので、ご相談だけでもお気軽にお問い合わせくださいませ。