セキュリティの
学び場

今回の解説ニュース

JVNでCVSS v2の掲載を終了するということです。CVSSの概要とCVSS v2とCVSS v3が併記されていた理由について説明します。

今回の発表は、JVNに掲載する共通脆弱性評価システムCVSSに関するものです。内容として、2024年4月1日以降に新規に公表するアドバイザリからは、CVSS v2の評価は掲載せず、CVSS v3の評価のみを掲載するということです。

なお、CVSS v3では、脆弱性の深刻度を評価するために、攻撃の難易度を評価する項目と、攻撃による影響を評価する項目を分けて評価する手法を採用しています。

CVSSの概要

CVSSがあることによって、ソフトウェアなどの脆弱性について、深刻度を定量的に図ることができます。

脆弱性は毎日のように公表されているため、すべての脆弱性に対応することが現実的に困難となってしまう場合があります。また、様々な組織から公開される脆弱性情報に、それぞれの基準で深刻度がつけられてしまうと、どの脆弱性が高リスクで直ちに対応すべきか判断に迷う可能性があります。

CVSSはCommon Vulnerability Scoring Systemの略で、脆弱性の深刻度を評価するための指標です。CVSSは、脆弱性の深刻度を数値化することで、セキュリティ担当者が対応に優先順位をつけることの支援をします。

CVSSは、攻撃の難易度や攻撃による影響、影響が及ぶ範囲などからスコアが割り出されます。CVSSスコアは、脆弱性の深刻度を0.0から10.0の値で示しており、10.0に近づくほど深刻度が高いことを意味します。CVSSは深刻度を数値化できるため、脆弱性の深刻度を客観的に評価できたり、異なるシステムや組織間で脆弱性を比較できたりするメリットが挙げられます。

CVSS v2とCVSS v3が併記されていた理由

CVSS v2とCVSS v3のスコアが併記されてきた理由として、下位互換性の確保や、既存の脆弱性情報を活用できるようにするためであることが挙げられます。

CVSS v2とv3では評価項目に差があるため、それぞれで算出されるスコアに差が出る場合があります。よって、脆弱性の深刻度を比較する場合は、同じバージョンのCVSSによって算出されたスコアで行うことが必要です。

CVSSは長年にわたり多くの組織で利用されてきましたので、CVSS v3が発表されたとしても、直ちにv2の利用から移行できるわけではありません。また、過去に公開された膨大な数の脆弱性情報がCVSS v2によって評価されていますので、CVSS v3へ完全に移行してしまうと、v2で評価された既存の脆弱性情報と深刻度が比較できなくなってしまいます。そのため、両方のバージョンで算出されたスコアを併記することで、組織に対して移行期間を提供すると同時に、過去の情報を有効に活用できるようにしています。