13 Jan 2022
情報セキュリティに関して、ソフトウェアの脆弱性の情報を得たとしても、それがどの程度のリスクかを感じるのは、その環境や人によって捉え方がまちまちです。そのために、脆弱性の深刻度などを共通の評価基準によって認識できるようにするためCVSS(Common Vulnerability Scoring System)共通脆弱性評価システムがあります。
Common Vulnerability Scoring System v3.1のMetrics(評価基準)
- Base Metrics(基本評価基準)
・Exploitability Metrics(悪用可能性の指標)
- Attack Vector (AV: 攻撃元区分)
- Attack Complexity (AC: 攻撃の複雑さ)
- Privileges Required (PR: 必要な特権レベル)
- User Interaction (UI:ユーザ関与レベル)
・Scope (S:スコープ)
・Impact Metrics(影響度の指標)
- Confidentiality (C:機密性)
- Integrity (I:完全性)
- Availability (A:可用性) - Temporal Metrics(現状評価基準)
・Exploit Code Maturity (E:エクスプロイトコードの成熟度)
・Remediation Level (RL:修復レベル)
・Report Confidence (RC:レポートの信頼性)
- Environmental Metrics(環境評価基準)
・Security Requirements(セキュリティ要件)
- CR:機密性要件
- IR:完全性要件
- AR:可用性要件
・Modified Base Metrics(修正された基本評価基準)
CVSSは、こうした多方面の観点から脆弱性について評価できるようになっておりますが、脆弱性が特定のIT環境にリスクをもたらすかどうかはわからないため、組織自体の環境の時間スコアと環境スコアを計算することができるようにするため、CVSS計算機がFIRSTのみならず、NISTなどでも無料で計算できるWebページが公開されています。
IT環境に対する脆弱性の重大度と影響を一貫したスコアで表すため、当初NIAC( National Infrastructure Advisory Council) によって開発されたCVSSは、現在は、FIRSTが、CVSS標準の次のバージョンの基礎を形成する個々の改善に取り組んでいる、銀行や金融からテクノロジーや学界まで幅広い業界の代表者で構成されているCVSS-SIG(Common Vulnerability Scoring System Special Interest Group)の後援、サポートを担当しています。
CVSS-SIGには、IPA(独立行政法人情報処理推進機構)も参画しており、脆弱性対策情報ポータルサイトJVN、脆弱性対策情報データベースJVN iPediaなどでも、各脆弱性関連情報に、このCVSSによる脆弱性の深刻度が記載され、客観的に見て重要性の判断ができるようになっています。
| ◆深刻度レベル | |
| Rating(深刻度) | CVSS Score(スコア) |
| None(なし) | 0.0 |
| Low(注意9 | 0.1 - 3.9 |
| Medium(警告) | 4.0 - 6.9 |
| High(重要) | 7.0 - 8.9 |
| Critical(緊急) | 9.0 - 10.0 |
CVSSのバージョンによって、評価の仕方に違いがあり値は異なるようですが、やはりスコアが9.0以上になっている脆弱性の情報は、常に入手して必要に応じた対応をすべきでしょう。