CVSS|サイバーセキュリティ.com

CVSS

CVSS(Common Vulnerability Scoring System)は、情報セキュリティにおける脆弱性の深刻度を定量的に評価し、スコアとして示すためのフレームワークです。CVSSは、脆弱性のリスクを一貫して測定し、評価するための標準化された方法を提供します。これにより、セキュリティ管理者や企業、組織は脆弱性の影響を把握し、優先度に応じて対策を講じることができます。

CVSSは、米国国立標準技術研究所(NIST)の支援を受けて、FIRST(Forum of Incident Response and Security Teams)によって開発・維持されています。CVSSスコアは0.0から10.0の範囲で表され、数値が高いほど深刻度が高いことを示します。

CVSSの構成要素

CVSSは、脆弱性のスコアを計算するために、いくつかの主要なメトリクスを使用します。これらは「基本メトリクス」「現状メトリクス」「環境メトリクス」の3つのグループに分かれており、それぞれが脆弱性の特性や影響度を評価するために使用されます。

基本メトリクス(Base Metrics)

基本メトリクスは、脆弱性の固有の特性を評価するもので、脆弱性がどのように悪用される可能性があるか、どれだけ影響を与えるかを示します。このメトリクスは、以下のような要素で構成されています:

  • 攻撃ベクトル(Attack Vector, AV)脆弱性を悪用するために必要な攻撃者の物理的な位置やアクセス手段を評価します。ネットワーク(Network)、隣接ネットワーク(Adjacent)、ローカル(Local)、物理的(Physical)の4つのカテゴリに分類されます。ネットワーク越しに攻撃可能な脆弱性は、より深刻度が高いとされます。
  • 攻撃の複雑性(Attack Complexity, AC)脆弱性を悪用するための条件の複雑さや特殊な状況を評価します。複雑性が低いほど、脆弱性の深刻度が高くなります。
  • 権限の必要性(Privileges Required, PR)脆弱性を悪用するために必要な攻撃者の権限レベルを示します。権限が不要な場合、より深刻な脆弱性として評価されます。
  • ユーザーの関与(User Interaction, UI)攻撃を成功させるために被害者のユーザーが関与する必要があるかどうかを示します。ユーザーが関与する必要がない場合、脆弱性の深刻度は高くなります。
  • 機密性への影響(Confidentiality, C)脆弱性が機密情報の漏洩にどの程度影響するかを評価します。影響が大きいほどスコアが高くなります。
  • 完全性への影響(Integrity, I)脆弱性がデータの改ざんや不正な変更にどの程度影響を与えるかを示します。
  • 可用性への影響(Availability, A)脆弱性がシステムの可用性、つまりサービスの停止やリソースの制限に与える影響を評価します。

現状メトリクス(Temporal Metrics)

現状メトリクスは、脆弱性の現在の状態を評価します。時間とともに変化する要素を反映するため、基本メトリクスに対して調整されたスコアを提供します。これには、以下の要素が含まれます:

  • エクスプロイトコードの成熟度(Exploit Code Maturity, E)脆弱性を悪用するためのエクスプロイトコードがどれだけ普及しているかを示します。
  • 修正状況(Remediation Level, RL)脆弱性に対する修正の提供状況を評価します。公式なパッチが提供されているかどうかなどが考慮されます。
  • 報告の信頼性(Report Confidence, RC)脆弱性に関する情報がどれだけ信頼できるかを示します。

環境メトリクス(Environmental Metrics)

環境メトリクスは、組織にとって脆弱性がどの程度重要であるかを評価します。これにより、特定の環境や用途における影響を考慮してスコアを調整します。

  • セキュリティ要件の影響(Confidentiality Requirement, Integrity Requirement, Availability Requirement)機密性、完全性、可用性に対する組織のセキュリティ要件を考慮してスコアを調整します。

CVSSスコアの例

CVSSスコアは、脆弱性の深刻度を0.0から10.0までの範囲で示し、スコアによって以下のような深刻度のカテゴリーに分類されます:

  • 0.0: なし(None)
  • 0.1 – 3.9: 低(Low)
  • 4.0 – 6.9: 中(Medium)
  • 7.0 – 8.9: 高(High)
  • 9.0 – 10.0: 緊急(Critical)

これにより、組織は優先的に対応すべき脆弱性を把握しやすくなります。

CVSSの利用例

脆弱性管理

CVSSスコアを用いて、組織のネットワークやシステムにおける脆弱性を管理し、リスクの高い脆弱性を優先的に対策することができます。

セキュリティ監査

CVSSを利用して脆弱性の深刻度を評価し、セキュリティ対策が十分かどうかを監査することが可能です。

ベンダーと顧客間のコミュニケーション

CVSSスコアを基に、ベンダーが提供するパッチや対策の優先度を顧客に伝えることで、効果的なセキュリティ対策を講じることができます。

まとめ

CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を一貫して評価し、スコア化するためのフレームワークであり、セキュリティ業界において広く活用されています。CVSSスコアを用いることで、脆弱性に対する適切な対策の優先順位を決定し、組織のセキュリティ対策を強化することが可能です。CVSSは、脆弱性管理の標準ツールとして、セキュリティの向上に貢献しています。


SNSでもご購読できます。