CVSSとは?
CVSS(Common Vulnerability Scoring System) は、脆弱性の深刻度を数値(0.0~10.0)で表す国際標準の評価手法です。
IPAの試験やセキュリティ実務でよく登場します。
CVSS v3 では3つの基準で構成されます:
-
基本評価基準(Base Metrics)
→ 脆弱性そのものの性質(攻撃経路、必要権限、機密性への影響など) -
現状評価基準(Temporal Metrics)
→ 時間の経過で変化する要素(攻撃コードや対策状況) -
環境評価基準(Environmental Metrics)
→ 組織固有の利用環境に依存する要素
現状評価基準(Temporal Metrics)の特徴
- 時間経過により変化する のが最大のポイント。
- 脆弱性が公開された直後と、数か月後では深刻度が変わる可能性がある。
主な評価項目
-
攻撃コードの成熟度(Exploit Code Maturity)
- 攻撃コードが存在するか、公開されているか
- 公開されるとリスクが上昇
-
対応策の有無(Remediation Level)
- パッチ提供済みか、回避策(ワークアラウンド)があるか
- 有効な対策があればリスクが低下
-
レポート信頼度(Report Confidence)
- 脆弱性情報の信頼性(実証済みか、未確認情報か)
図解
具体例
- 脆弱性が発見された直後:攻撃コード未公開、パッチなし → 現状評価は低め
- 数週間後:PoCコード(概念実証)が公開される → スコア上昇
- 数か月後:ベンダーから修正パッチが提供される → スコア低下
同じ脆弱性でも「時間によってスコアが変わる」のが特徴。
まとめ
- CVSS v3 は 基本+現状+環境 の3層構造
- **現状評価基準(Temporal Metrics)**は
- 攻撃コード成熟度
- 対策の有無
- レポート信頼度
- 時間経過で変化するスコア を与えるのが特徴