コンピューターセキュリティの分野では、情報システムに対する脅威や脆弱性の評価が重要な課題となっています。特に、異なる脆弱性の深刻さを客観的に評価し、優先順位付けする必要があります。このような課題に対処するために、共通脆弱性評価システム「CVSS(Common Vulnerability Scoring System)」というシステムが開発されました。CVSSは、脆弱性の深刻さを数値化し、組織がリスクを管理し、対処するための基準を提供します。
CVSSは、セキュリティ専門家やシステム管理者、開発者などの利用を支援するために、脆弱性の深刻さを明確に定量化します。このシステムは、脆弱性の深刻さを評価するための標準化された手法を提供することで、情報セキュリティの向上とリスクの最小化に貢献しています。CVSSは、その客観的な評価基準と柔軟性により、広く受け入れられ、広く使用されています。
目次
CVSSは、コンピュータシステムに存在するセキュリティの脆弱性を評価するための国際標準のスコアリングシステムです。脆弱性とは、攻撃者がシステムに侵入したり、データを盗んだりする可能性のあるセキュリティ上の欠陥を指します。
CVSSは脆弱性の深刻さを数値で表します。このスコアは0から10までの範囲で、数値が高いほど脆弱性のリスクが大きいことを意味します。
2000年代初頭、世界中のさまざまなシステムや製品で多くのセキュリティ脆弱性が発見されていました。しかし、これらの脆弱性についての情報は組織によって報告の仕方が異なり、一貫性がありませんでした。このため、脆弱性の深刻さを正確に理解し、比較することが困難でした。そこで、脆弱性に関する情報を国際的に共通の形式で報告し、理解する手助けをするためにCVSSが設計されました。
具体的には、2004年10月に米国家インフラストラクチャ諮問委員会(NIAC)のプロジェクトによって原案が作成されました。その後、管理母体として選ばれたFIRSTのCVSS-SIG(Special Interest Group)において適用推進や仕様改善が行われ、下記表のような進展を遂げてきました。
| CVSSバージョン | リリース日 |
|---|---|
| CVSS v1 | 2005年6月 |
| CVSS v2 | 2007年6月 |
| CVSS v3.0 | 2015年6月 |
| CVSS v3.1 | 2019年6月 |
| CVSS v4.0 | 2023年11月 |
[表]CVSSバージョン
2024年5月17日現在 CVSS v4.0が最新バージョンであり、 直前のバージョンであるCVSS v3.1 と比較して以下のような特徴があります。
CVSSは、脆弱性の深刻さを評価するためにいくつかの要素を考慮します。この要素には、基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準 (Environmental Metrics)が含まれます。
情報セキュリティの3要素である「機密性( Confidentiality Impact )」「完全性( Integrity Impact )」「可用性( Availability Impact )」に対する影響を評価し、CVSS基本値(Base Score)を算出します。
現時点における深刻度を評価し、CVSS現状値(Temporal Score)を算出します。なお、この基準による評価結果は、脆弱性の対応への評価に応じて、時間の経過で変化します。
製品を利用する側の利用環境も含めた脆弱性の最終的な深刻度を評価します。なお、この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザごとに変化します。
CVSSの評価方法は、これらの要素を総合的に考慮して数値スコアを計算し、脆弱性の深刻さを表現します。
また、CVSS v4.0 では以前のバージョンと異なり、以下のような 命名規則(CVSS-B,CVSS-BT,CVSS-BE,CVSS-BTE)によるスコア算出方式が提供されました。
この数値スコアを利用することで、セキュリティ専門家やシステム管理者は脆弱性に対する対策やリスク管理の優先順位を付ける手助けとなります。
CVSSの利点は以下の通りです。
CVSSは脆弱性の深刻さを数値化し、標準化された評価基準を提供します。これにより、脆弱性を容易に比較し、優先順位付けできます。
CVSSスコアは脆弱性の深刻さを示し、その脆弱性が組織やシステムに与える影響を理解するのに役立ちます。これにより、適切な対応策を講じるためのリスク評価が可能になります。[図]JPCERT/CCによる脆弱性分析結果
CVSSスコアを使用することで、組織はリソース(人員、工数等)を最も重要な脆弱性に割り当てることができます。これにより、リスクの高い脆弱性に対処することが優先されます。
以下がCVSSスコアを5段階に分類した表になります。スコア値が高いほど深刻度が増します。
|
深刻度
|
スコア
|
|---|---|
|
緊急 (Critical)
|
9.0~10.0
|
|
重要 (Important)
|
7.0~8.9
|
|
警告 (Warning)
|
4.0~6.9
|
|
注意 (Attention)
|
0.1~3.9
|
|
なし (None)
|
0
|
[表]CVSSスコア
また一方で、CVSSには以下のような課題も存在します。
CVSSは一部のメトリクス(指標)を人為的に決定する必要があります。例えば、脆弱性の深刻さや攻撃可能性を評価する際に、主観的な判断が必要となります。これにより、異なる評価者が同じ脆弱性に対して異なるスコアを与えることがあります。
CVSSはセキュリティ脆弱性の深刻さを評価するためのフレームワークですが、すべての脆弱性に対して適切な評価ができるわけではありません。特定の状況やコンテキストによっては、CVSSスコアだけでは脆弱性のリスクを正確に評価することが難しい場合があります。
CVSSは特定の脆弱性に焦点を当てており、それを利用して対策を講じるための指針を提供します。しかし、システム全体のセキュリティリスクを評価するためには、CVSSだけでなく他の手法やツールも必要となる場合があります。
CVSSは、以下のような様々な方法で活用されています。