共通脆弱性評価システム CVSS(Common Vulnerability Scoring System)とは、情報システムの脆弱性の深刻度を評価する手法の確立を目的として作成された、国際的な評価基準です。
脆弱性に対して同一の基準に則った定量的な深刻度として評価することができるため、ベンダーに依存しない評価や関係者間での認識共通化などのメリットがあります。
また、CVSSでの深刻度評価のもう1つの特徴に、「脆弱性を点数によって評価する」という点が挙げられます。深刻度のない 0.0 から、最も深刻度の高い 10.0 までの点数で評価され、その点数に応じて5段階の深刻度のレベルで表すことが可能です。
| 深刻度 | スコア |
|---|---|
| 緊急 | 9.0~10.0 |
| 重要 | 7.0~8.9 |
| 警告 | 4.0~6.9 |
| 注意 | 0.1~3.9 |
| なし | 0.0 |
※”共通脆弱性評価システムCVSS v3概説”,IPA, (https://www.ipa.go.jp/security/vuln/CVSSv3.html )より抜粋
以降、最新の基準であるCVSSv3として解説をいたします。
CVSSのリスク評価の基準には大きく分けて3つあります。
全てのリスク評価のベースとなる基本評価基準(Basic Metrics)、その脆弱性を攻撃するコードの存在やパッチリリースの状況からリスクを見直す現状評価基準(Temporal Metrics)、システムやコンポーネントの環境に依存する要素からリスク値を再評価する環境評価基準(Environmental Metrics)の3つですが、ここではベースとなる基本評価基準(Basic Metrics)について解説します。
基本評価基準では、脆弱性の深刻度を評価するために、攻撃の難易度を評価する項目、攻撃による影響を評価する項目とに分けてそれぞれ評価しており、これに加え、影響範囲の拡大の有無を加味しリスク評価・点数の算出を行っています。
各項目の評価は、しばしば AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N のようなパラメタ形式で表現されます。
細かい評価内容については解説を割愛しますが、この表記から以下のような情報を読み取ることができます。
この情報から、おおよそ以下のような脆弱性であったと推測できます。
攻撃に必要な特権レベル・権限は特になし。攻撃のための前提条件も不要で、管理者や被害ユーザによる何らかの操作を誘導する必要もなし。またネットワーク越しに攻撃が可能。
被害の範囲は脆弱性のあるコンポーネントの範囲のみに限定される。
機密性の高い情報(機密性の高い情報、パスワードなど)が漏洩される恐れがあるが、完全性に影響を及ぼす可能性や、そのコンポーネントやシステムの利用を妨げる影響も考えられない。
この条件の脆弱性の深刻度を算出すると、7.5(重要レベル)という点数となり、深刻度の高い脆弱性であったことが分かります。
参考: Common Vulnerability Scoring System Version 3.0 Calculator, FIRST (https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N )
このように、CVSSには「脆弱性に対して定量的な評価を行える」「評価結果が各担当者間での共通言語になる」「重大さ、影響の程度が可視化できる」といった利点があり、現在では脆弱性の深刻度を表すために広く用いられている、国際的なリスク評価基準です。
CVSSを用いれば、発見された脆弱性の評価を可視化することができます。その脆弱性における影響度(被害の大きさ)はどれくらいか、悪用の難易度(被害に合う可能性)はどの程度かを把握し、セキュリティ方針に則った脆弱性対策を効果的に進めるための基準の1つとして用いると良いでしょう。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
