CVSS 【Common Vulnerability Scoring System】 共通脆弱性評価システム

その脆弱性によってどこからどのような攻撃が可能か、どのような影響が起こりうるかなど、脆弱性自体の性質に基づいて評価される指標を「CVSS基本値」（base score）という。主に情報セキュリティの三要素（C.I.A.：機密性、完全性、可用性）に対する影響度合いを見積もる。

攻撃プログラムの入手性や、対応策や修正プログラムなどが利用可能か、脆弱性情報の信頼性など、その脆弱性の現在の状態によって評価される指標を「CVSS現状値」（temporal score）という。時間の経過と共に、攻撃手法の公開や対策の進展などによって変化する。

攻撃を受けた際の二次被害の可能性や影響を受ける対象の範囲、対象システムの機密性の要求度合いなど、脆弱性を取り巻く環境によって評価される指標を「CVSS環境値」（environmental score）という。対象システムの利用者が自らの環境における深刻度を評価するために用いるもので、利用者によって異なる。

これら3つ指標について、それぞれ数個ずつの評価項目と基準、値が定められている。例えば、基本値の評価項目の一つである「攻撃前の認証要否」は、「不要」（スコア0.704）、「一回必要」（0.56）、「二回以上必要」（0.45）のように配点が定められている。各項目について値を決定し、定められた算出式に代入することにより、各指標の値が決定される。

関連用語

IPA

【Information-technology Promotion Agency】

サーバ

【server】

ユーザーインターフェース

【user interface】

ソフトウェア

【software】

HTTPS

【HTTP over SSL/TLS】

ベンダ

【vendor】

AV

【Audio Visual】

ファイル

【file】

au

可用性

【availability】

情報システム

【information system】

コンポーネント

【component】

脆弱性

【vulnerability】

ネットワーク

【network】

スコープ

【scope】

システム

【system】

ツール

【tool】

セキュリティ

【security】

リスト

【list】

JPドメイン

【JP domain】