CVSSスコア【CVSS score】
CVSSスコアとは?
「CVSS」(Common Vulnerability Scoring System)は、FIRST(Forum of Incident Response and Security Teams)という国際組織が管理する脆弱性評価制度で、様々な製品から発見されたセキュリティ上の脆弱性についての情報を収集し、深刻度をCVSSスコアとして評価・公表している。
脆弱性が見つかった際、担当者はCVSSスコアを確認することで危険性を即座に把握できる。例えば、ネットワーク越しに認証なしで攻撃でき、システム全体に影響が及ぶ脆弱性は高い数値になる。一方、攻撃に特殊な条件が必要で影響範囲も限定的な場合は低い値となる。多数の脆弱性に限られたリソースで対処しなければならない局面において、修正の優先度を仕分ける手掛かりとなる。
スコアの算出には、攻撃がネットワーク越しに実行できるか、特別な権限や利用者の操作が必要かどうか、機密性・完全性・可用性への影響はどの程度か、といった複数の要素が用いられる。これらを組み合わせて数値化するため、異なる開発元の製品間でも同じ基準で比較できる。
スコアは深刻度のレベルと対応しており、9.0以上を「緊急」、7.0〜8.9を「重要」、4.0〜6.9を「警告」、0.1〜3.9を「注意」、0.0を「なし」と区分する。脆弱性情報を公開する機関や開発元がこの区分を採用しており、パッチ適用の優先順位を示す目安として用いられる。ただし、数値が高くても自組織の環境によっては影響が限定される場合があり、逆に低い値でも重要なシステムで使われていれば無視できないこともある。
スコアには基本値、現状値、環境値の3種類がある。基本値は脆弱性そのものの性質から算出される値で、脆弱性データベースに登録されているスコアはこれにあたることが多い。現状値は修正パッチの有無など時間とともに変化する要素を加味したもの、環境値は自組織のシステム構成や重要度に応じて調整したものである。バージョン3系が広く使われているが、バージョン4.0への移行も進んでいる。
共有ボタンをタップ