CVSS(Common Vulnerability Scoring System)は、ソフトウェアやシステムの**脆弱性(セキュリティホール)**の深刻度を評価・数値化するための標準的なフレームワークです。これにより、脆弱性に対する優先度や対応方針を決定しやすくなります。
CVSSの概要
-
目的
- 脆弱性の危険性を一貫した基準で評価し、共通のスコアを用いてその重要性を比較できるようにする。
- IT管理者やセキュリティ担当者が脆弱性に対する対応優先度を決定するのに役立つ。
-
スコア範囲
CVSSスコアは0.0〜10.0の範囲で表され、数値が高いほど深刻度が高いことを示します。- 0.0: 脅威なし
- 0.1〜3.9: 低(Low)
- 4.0〜6.9: 中(Medium)
- 7.0〜8.9: 高(High)
- 9.0〜10.0: 緊急(Critical)
-
バージョン
現在の最新バージョンはCVSS v3.1(2023年時点)。以前のバージョン(v2など)よりも詳細な評価が可能です。
CVSSの評価基準
CVSSスコアは以下の3つのメトリックグループで構成されます:
1. 基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する項目で、スコアの基礎となります。
-
攻撃方法(Attack Vector, AV)
攻撃が可能な範囲(例: ネットワーク、ローカル)。 -
攻撃複雑度(Attack Complexity, AC)
攻撃を成功させる難しさ(例: 簡単か複雑か)。 -
必要認証(Privileges Required, PR)
攻撃に必要な権限(例: 認証不要、管理者権限必要など)。 -
影響(Confidentiality, Integrity, Availability, CIA)
機密性、完全性、可用性に与える影響。
2. 時間評価基準(Temporal Metrics)
脆弱性に関する追加情報や状況に基づく項目。
- 例: 修正プログラムの有無、攻撃コードの利用可能性など。
3. 環境評価基準(Environmental Metrics)
脆弱性が特定のシステムや環境に与える影響を評価する項目。
CVSSの活用例
-
脆弱性の優先順位付け
- CVSSスコアが高い脆弱性を優先的に修正する。
-
セキュリティポリシー策定
- 組織のセキュリティ対応基準(例: CVSS 7.0以上を即時対応)を設定。
-
脆弱性管理ツール
- Nessus、QualysなどのツールがCVSSスコアを活用して脆弱性を評価。
CVSSを提供する主な機関
-
NVD(National Vulnerability Database)
米国国立標準技術研究所(NIST)が運営する脆弱性データベースで、CVSSスコアを公開しています。
CVSSスコアを活用することで、脆弱性に効率的に対応できる体制を整えられます。必要に応じてスコア計算の具体例を説明することも可能です!