CVSSとは
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は、
ソフトウェアやシステムに存在する脆弱性の深刻度を、共通の基準で数値化(0.0〜10.0)するための国際標準です。
脆弱性の修正優先度を判断する材料として、IPA(情報処理推進機構)が公開しているJVN(Japan Vulnerability Notes)や、米国NVD(National Vulnerability Database)などで広く利用されています。
CVSS評価フロー(概要図)
CVSSの目的
-
脆弱性の深刻度を客観的かつ定量的に表現する
-
複数組織・国間での共通言語として機能する
-
脆弱性対応の優先順位付けを明確化する
CVSSの全体像
CVSSのバージョン
-
CVSS v2(旧版、現在は非推奨)
-
CVSS v3.0(2015年公開)
-
CVSS v3.1(2019年公開、現在の主流)
-
CVSS v4.0(2023年公開、一部で利用開始)
※ SG(情報セキュリティマネジメント試験)やSC(情報処理安全確保支援士試験)では、v3.1の基準で出題されるのが主流です。
基本評価基準(Base Metrics)詳細(CVSS v3.1)
| 指標 | 意味 | 取値 | 数値換算 |
|---|---|---|---|
| AV(Attack Vector)攻撃元区分 | 攻撃者がどこから攻撃できるか | N: ネットワーク / A: 隣接 / L: ローカル / P: 物理 | 0.85 / 0.62 / 0.55 / 0.2 |
| AC(Attack Complexity)攻撃条件の複雑さ | 攻撃に必要な条件の難易度 | L: 低 / H: 高 | 0.77 / 0.44 |
| PR(Privileges Required)必要特権レベル | 攻撃に必要な権限 | N: 無 / L: 低 / H: 高(Scope依存) | Scope=U: 0.85/0.62/0.27 Scope=C: 0.85/0.68/0.5 |
| UI(User Interaction)ユーザ関与 | ユーザ操作が必要か | N: 不要 / R: 要 | 0.85 / 0.62 |
| S(Scope)スコープ | 影響が別の権限領域に波及するか | U: 無変更 / C: 変更あり | - |
| C(Confidentiality)機密性影響 | 情報漏えいの程度 | H: 高 / L: 低 / N: 無 | 0.56 / 0.22 / 0.0 |
| I(Integrity)完全性影響 | 改ざんの程度 | H: 高 / L: 低 / N: 無 | 同上 |
| A(Availability)可用性影響 | サービス停止の程度 | H: 高 / L: 低 / N: 無 | 同上 |
CVSSスコア計算式(Base Score)
Step 1: Exploitability(可利用性)
Exploitability = 8.22 × AV × AC × PR × UI
Step 2: Impact(影響度)
ISC = 1 - (1 - C) × (1 - I) × (1 - A)
- Scope = U:
Impact = 6.42 × ISC - Scope = C:
Impact = 7.52 × (ISC - 0.029) - 3.25 × (ISC - 0.02)^15
Step 3: Base Score
- Impact ≤ 0 → Base Score = 0
- Scope = U:
BaseScore = round_up(min(Impact + Exploitability, 10)) - Scope = C:
BaseScore = round_up(min(1.08 × (Impact + Exploitability), 10))
※ round_up は一位小数で切り上げ
評価例
脆弱性の条件:
- インターネット経由で攻撃可能(AV:N)
- 特殊条件不要(AC:L)
- 認証不要(PR:N)
- ユーザ操作不要(UI:N)
- スコープ変更なし(S:U)
- 機密性・完全性・可用性すべてに高い影響(C:H, I:H, A:H)
計算
1. Exploitability
8.22 × 0.85 × 0.77 × 0.85 × 0.85 ≈ 3.88
2.ISC
1 - (0.44^3) ≈ 0.915
Impact = 6.42 × 0.915 ≈ 5.87
3. Base Score
5.87 + 3.88 = 9.75 → 切り上げ 9.8(Critical)
CVSSスコアの深刻度区分(v3.1)
| スコア範囲 | 深刻度 | 色分け例 |
|---|---|---|
| 9.0〜10.0 | Critical(緊急) | 🔴 赤 |
| 7.0〜8.9 | High(高) | 🟠 橙 |
| 4.0〜6.9 | Medium(中) | 🟡 黄 |
| 0.1〜3.9 | Low(低) | 🟢 緑 |
| 0.0 | None(なし) | ⚪ 白 |
IPA CVSS計算ツールの活用
IPA公式ツール:https://www.ipa.go.jp/security/vuln/CVSS.html
使い方
- 脆弱性情報を読み、各Base Metricsに該当する値を抽出
- ツール画面で選択肢を入力
- 自動的にスコアと深刻度が表示
SG午後試験ではこのツールは使えませんが、同じロジックで計算されます。
SG午後試験対策ポイント
- AV/AC/PR/UI → 攻撃のしやすさ
- S/C/I/A → 影響の大きさ
- 問題文からキーワードを拾って即座にマッピング
- 計算問題は少なく、深刻度(Critical/High/Medium/Low)の選択が多い
- ベクトル記述形式(AV:N / AC:L / ...)は暗記しておくと時短可能
まとめ
- CVSSは脆弱性評価の国際標準であり、試験・実務ともに必須知識
- SG午後試験ではBase Metricsの理解が合否を分ける
- 実務ではIPAツールを活用し、優先度判断や報告書に応用可能