業務システムやネットワークのセキュリティ診断を行った際に記載されるCVSSスコア。その見方や計算方法について一通り理解したい、というニーズは情報システム部門外でもみられます。
CVSSとは何か、スコアはどのように見ればいいのか、最新バージョンの背景にある思想など、その活用にあたって押さえておくべき基礎知識を知りたい方は、本記事をぜひご活用ください。

CVSSは情報システムの脆弱性を評価する“国際的かつオープンな手法”

CVSS(Common Vulnerability Scoring System：共通脆弱性評価システム)とは、システムやネットワークの情報セキュリティを三つの指標を用いて・0.0（低）～10.0（高）の範囲で評価する、脆弱性における深刻度のスコアリングシステムです。

米国における重要インフラの情報セキュリティを担うNIAC（National Infrastructure Advisory Council：米国家インフラ諮問委員会）によって、2004年10月に原案が作成されたCVSS。2023年1月現在の管理母体は、FIRST（Forum of Incident Response and Security Teams：インシデント対応及びセキュリティチームフォーラム）。セキュリティインシデント対応組織として数多くの企業で設置されているCSIRT（Computer Security Incident Response Team）を世界規模でつなぐフォーラムです。

FIRSTにより定期的に内容がアップデートされているCVSS。最新の「CVSS v3.1」は、2019年6月に公開されました。国際的かつオープンな手法であるCVSSは、多種多様な情報システムを同じ物差しで評価する汎用的な手法として重宝されています。

計算機とともに見る、CVSSの具体的な評価方法

それではさっそく、CVSSの具体的な評価方法に話を進めましょう。
CVSSには基礎・現状・環境の三つの評価基準があり、それぞれを構成する項目に回答することでスコアが算出されます。
そのための計算機はFIRSTのサイトで公開されており、日本語版は、日本の脆弱性や情報セキュリティに関する情報を提供する「JVN（Japan Vulnerability Notes）」にて、無償で提供されています。
「CVSS v3.1」における、三つの評価基準それぞれの概要と項目は以下の通り。

【1】基本評価基準（Base Metrics）

システムそのものの脆弱性を判定する、基本の評価基準です。攻撃の容易さを示す「攻撃可能性（Exploitability）」と攻撃が成功した場合のインパクトの大きさを表す「影響度評価基準（Impact metrics）」で構成されます。

• 攻撃元区分: Attack Vector (AV)
• 攻撃条件の複雑さ: Attack Complexity (AC)
• 攻撃に必要な特権レベル: Privileges Required (PR)
• 利用者の関与: User Interaction (UI)


• 機密性への影響: Confidentiality(C)
• 完全性への影響: Integrity (I)
• 可用性への影響: Availability (A)


• 影響の想定範囲: Scope (S)

【2】現状評価基準（Temporal Metrics）

ユーザ環境をまたがない範囲で変化する可能性のある、下記の要素に対する評価基準です。

• 攻撃される可能性: Exploit Code Maturity (E)
• 利用可能な対策のレベル: Remediation Level (RL)
• 脆弱性情報の信頼性: Report Confidence (RC)

【3】環境評価基準（Environmental Metrics）

特定のユーザ環境に依存し、各企業によって相対的に変化する要素を加味するための評価基準です。

• 機密性の要求度: Confidentiality Requirement (CR)
• 完全性の要求度: Integrity Requirement (IR)
• 可用性の要求度: Availability Requirement (AR)


• 緩和策後の攻撃元区分: Modified AV (MAV)
• 緩和策後の攻撃条件の複雑さ: Modified AC (MAC)
• 緩和策後の攻撃に必要な特権レベル: Modified PR (MPR)
• 緩和策後の利用者の関与: Modified UI (MUI)
• 緩和策後の影響の想定範囲: Modified S (MS)
• 緩和策後の機密性への影響: Modified C (MC)
• 緩和策後の完全性への影響: Modified I (MI)
• 緩和策後の可用性への影響: Modified A (MA)

実際に計算機を使ってみれば分かる通り、上記の3要素に対し脆弱性スコアが算出され、None(0.0)・Low(0.1-3.9)・Medium(4.0 - 6.9)・High(7.0 - 8.9)・Critical(9.0 - 10.0)の5段階で深刻度がレベル分けされています。それぞれの日本語訳は、なし・注意・警告・重要・緊急です。
また、各評価基準の情報をテキストで確認・記録するための「Vector String」も、基本評価基準の直下に緑の四角に囲まれる形で記載されます。

CVSSのスコアを見るにあたって注意したいのが、CVSSは脆弱性のリスクではなく、“深刻度”を測定するためのものだという点です。リスクを包括的に評価するには、露出や脅威といった深刻度以外の要素も考慮に含める必要があると、FIRSTのユーザーガイドでも明記されています。

「CVSS v3.1」の特徴と押さえたい役割

2015年6月に公開された「CVSS v3」では、情報システムの仮想化やサンドボックス化（他システムにインシデントの影響を及ぼさないよう隔離すること）が進んだ状況を反映し、評価項目の見直しや用語の再設定が行われました。「CVSS v3.1」はその内容を下敷きにしつつ、バグの修正や使い勝手のアップデートが行われたバージョンとなっています。なお、脆弱性対策情報データベースなどでは、「CVSS v2」や「CVSS v3」を用いてスコアリングされていることも少なくありません。

スコアリングにより脆弱性に優先順位をつけることは、実際的な情報セキュリティにおいて欠かせないことです。ただし、優先順位をつけたあとは攻撃元区分や攻撃条件の複雑さなど、各項目の内容を確認しましょう。重要なのは、スコアリングをすることではなく、情報セキュリティの基準となる視点を手に入れることなのです。

CVSSを使いこなすには、各項目の理解と共有が不可欠

情報セキュリティの一指標として広く用いられるCVSSについてご紹介しました。適切な評価を行うには各項目の意味を理解し、チームで共有することが不可欠です。FIRSTのサイトやIPAの講座など無料で参照できる資料は幸い充実しているため、この記事を皮切りに学び始めてみてはいかがでしょうか。