セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場用語・国際規格深刻度をスコアで定量的に評価！共通脆弱性評価システム CVSSとは

深刻度をスコアで定量的に評価！共通脆弱性評価システム CVSSとは

2022.10.12 用語・国際規格

共通脆弱性評価システム CVSSとは
リスク評価の方法
リスク評価のパラメタを読み解いてみる
まとめ

共通脆弱性評価システム CVSSとは

共通脆弱性評価システム CVSS(Common Vulnerability Scoring System)とは、情報システムの脆弱性の深刻度を評価する手法の確立を目的として作成された、国際的な評価基準です。
脆弱性に対して同一の基準に則った定量的な深刻度として評価することができるため、ベンダーに依存しない評価や関係者間での認識共通化などのメリットがあります。

また、CVSSでの深刻度評価のもう1つの特徴に、「脆弱性を点数によって評価する」という点が挙げられます。深刻度のない 0.0 から、最も深刻度の高い 10.0 までの点数で評価され、その点数に応じて5段階の深刻度のレベルで表すことが可能です。

深刻度	スコア
緊急	9.0～10.0
重要	7.0～8.9
警告	4.0～6.9
注意	0.1～3.9
なし	0.0

※”共通脆弱性評価システムCVSS v3概説”,IPA, (https://www.ipa.go.jp/security/vuln/CVSSv3.html )より抜粋

以降、最新の基準であるCVSSv3として解説をいたします。

リスク評価の方法

CVSSのリスク評価の基準には大きく分けて3つあります。

全てのリスク評価のベースとなる基本評価基準（Basic Metrics）、その脆弱性を攻撃するコードの存在やパッチリリースの状況からリスクを見直す現状評価基準(Temporal Metrics)、システムやコンポーネントの環境に依存する要素からリスク値を再評価する環境評価基準(Environmental Metrics)の3つですが、ここではベースとなる基本評価基準（Basic Metrics）について解説します。

基本評価基準では、脆弱性の深刻度を評価するために、攻撃の難易度を評価する項目、攻撃による影響を評価する項目とに分けてそれぞれ評価しており、これに加え、影響範囲の拡大の有無を加味しリスク評価・点数の算出を行っています。

攻撃の難易度を評価する項目: AV（Attack vector: 攻撃元区分）
AC（Attack Complexity: 攻撃の複雑さ）
PR（Privileges Required: 特権レベル）
UI（User Interaction: ユーザ関与の有無）
攻撃の影響度を評価する項目: C（Confidentiality Impact: 機密性への影響）
I（Integrity Impact: 完全性への影響）
A（Availability Impact:可用性への影響）
影響範囲の拡大の有無を評価する項目: S（Scope: スコープ、範囲）

リスク評価のパラメタを読み解いてみる

各項目の評価は、しばしば AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N のようなパラメタ形式で表現されます。
細かい評価内容については解説を割愛しますが、この表記から以下のような情報を読み取ることができます。

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N: AV（Attack vector: 攻撃元区分）：ネットワーク
AC（Attack Complexity: 攻撃の複雑さ）：低い
PR（Privileges Required: 特権レベル）：権限は不要
UI（User Interaction: ユーザ関与の有無）：不要
S（Scope: スコープ、範囲）：変更なし
C（Confidentiality Impact: 機密性への影響）：大きい
I（Integrity Impact: 完全性への影響）：影響なし
A（Availability Impact:可用性への影響）：影響なし

この情報から、おおよそ以下のような脆弱性であったと推測できます。

攻撃に必要な特権レベル・権限は特になし。攻撃のための前提条件も不要で、管理者や被害ユーザによる何らかの操作を誘導する必要もなし。またネットワーク越しに攻撃が可能。
被害の範囲は脆弱性のあるコンポーネントの範囲のみに限定される。
機密性の高い情報（機密性の高い情報、パスワードなど）が漏洩される恐れがあるが、完全性に影響を及ぼす可能性や、そのコンポーネントやシステムの利用を妨げる影響も考えられない。

この条件の脆弱性の深刻度を算出すると、7.5（重要レベル）という点数となり、深刻度の高い脆弱性であったことが分かります。

参考: Common Vulnerability Scoring System Version 3.0 Calculator, FIRST (https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N )

まとめ

このように、CVSSには「脆弱性に対して定量的な評価を行える」「評価結果が各担当者間での共通言語になる」「重大さ、影響の程度が可視化できる」といった利点があり、現在では脆弱性の深刻度を表すために広く用いられている、国際的なリスク評価基準です。

CVSSを用いれば、発見された脆弱性の評価を可視化することができます。その脆弱性における影響度（被害の大きさ）はどれくらいか、悪用の難易度（被害に合う可能性）はどの程度かを把握し、セキュリティ方針に則った脆弱性対策を効果的に進めるための基準の1つとして用いると良いでしょう。

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ

この記事の著者海瀬秀晃

国内某大手メーカーの社内VPNの運用・管理業務に携わり、ネットワークインフラ管理業務を経験。
2013年よりサイバーセキュリティ業界に足を踏み入れる。2016年には国内初となるSaaS型 WAFの自社開発を実現し、商品化・販売を行う。
2020年2月株式会社SHIFT SECURITYに入社し、Web脆弱性診断の診断品質を担保する業務に従事。
情報処理安全確保支援士。恐妻家。三兄弟の父。

こちらの記事もおすすめ！

ASVSの最適な使い方

OWASP ASVSという言葉をご存じでしょうか？

2021.10.20 技術や仕組み

SPF/DKIMによるメールセキュリティ

電子メールはWebの発展以前から存在する技術で、コンピュータ間のメッセージ交換を目的に長く使われてきました。当時、サイバーセキュリティに関する状況が現在とは大きく異なる中で設計された仕組みであるため、幾度の仕様変更によりセキュリティ強化が試みられたものの、メールには未だにさまざまなセキュリティの課題があります。

2022.10.12 技術や仕組み