Written by 夏野ゆきか
SEとして自動車業界/旅行業界の開発・保守・運用を経験後、フリーランスライターとして独立。IT系メディアに関するコラムや地域情報、エンタメなどの記事を執筆。
目 次
CVSSとは
CVSSの理解に必要な、情報セキュリティの3要件
CVSS、脆弱性を評価する「3つの基準」
CVSS スコアの算出方法について
CVSSバージョン4.0(V4.0)のリリースと変更点
CVSSを参考とする脆弱性診断なら、リピート率90%のLANSCOPEプロフェッショナルサービスにお任せ
まとめ
CVSS(共通脆弱性評価システム)とは、情報システムやソフトウェアの脆弱性(セキュリティ上の欠陥)の深刻度を示す、国際的な評価指標です。
CVSSはベンダーに依存しない共通の評価指標であるため、活用することで脆弱性の深刻度を、同一基準のもとで比較することが可能となります。
すべての脆弱性を修正するには膨大な時間とコストが発生するため、限られたリソースの中で最善の対処をするためには、より危険度の高い脆弱性から対応する必要があります。
そうした状況で役立つのが、今回ご紹介するCVSSです。CVSSでは脆弱性の深刻度を0.0~10.0で数値化し、定量的に優先順位付けをおこなうことが可能となります。
2023年11月には、最新のバージョンとなる「CVSS v4.0」がリリースされました。
▼この記事を要約すると
- CVSSは、情報システムの脆弱性の深刻度を評価する、ベンダーに寄らない国際的な指標
- 脆弱性の深刻度を0.0~10.0で数値化でき、脆弱性対策の優先度が定量的に判断できる
- 「基本評価基準」「現状評価基準」「環境評価基準」の3つの評価基準を組み合わせて評価する(「CVSS v4.0」より、現状評価基準から脅威評価基準に改名)
- 2023年11月に、最新バージョン「CVSS v4.0」がリリース
この記事を読むことで、CVSSの概要、評価基準や算出方法、最新のバージョンについて学べます。
また、LANSCOPE プロフェッショナルサービスでは、優秀なエキスパートがCVSSに則り、お客様のシステムやサーバー、アプリケーションを診断する「脆弱性診断」サービスを提供しています。
以下に「3分でわかる脆弱性診断」の資料をご用意しました、ぜひ合わせてご覧ください。
CVSSとは
CVSSとは、システムやソフトウェアの脆弱性の深刻度を表す、国際的な評価指標であり「共通脆弱性評価システム」と訳されます。
システムやソフトウェアが持つ脆弱性とは、プログラムの不具合や設計上のミスによって発生するセキュリティ上の欠陥のことです。脆弱性はしばしば不正アクセスやWebサイトの改ざん・マルウェア侵入といった攻撃の要因となるため、深刻度が高いものは優先的に対策をとる必要があります。
CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、特定のベンダーに依存しない共通の評価基準です。CVSSを用いることで脆弱性の深刻度を同一の基準のもとで比較でき、またベンダーや管理者・セキュリティ担当者等の間で、脆弱性に関して共通の言語・認識で会話できるといったメリットがあります。
CVSSを用いる重要性として、以下の3つがあげられます。
- 深刻度を同一基準でスコアリングして可視化できる
- 対策の優先度を決める際に役立つ
- ベンダー・セキュリティ部門・ユーザー間で、脆弱性に対し共通言語で議論が行える
CVSSでは、脆弱性の深刻度を0.0~10.0で数値化でき、数値が大きいほど深刻度が高いことを示しています。
| 数値 | 深刻度のレベル |
|---|---|
| 9.0~10.0 | 緊急 |
| 7.0~8.9 | 重要 |
| 4.0~6.9 | 警告 |
| 0.1~3.9 | 注意 |
| 0 | なし |
スコアリングされることで深刻度が一目でわかりやすく、どの脆弱性から対処していけばよいかという優先順位が決めやすくなります。
脆弱性の総数は増加傾向に
CVSSの評価対象である「脆弱性」が右肩上がりで増加していることが、アメリカ国立標準技術研究所(NIST)が管理する、脆弱性データベース(NVD|National Vulnerability Database)の記録より報告されています。
▼脆弱性数の推移データ
出典:yamory|2022年 脆弱性セキュリティレポート 増加する脆弱性とソフトウェア管理の重要性(2022年12月20日)
データベースによれば、2017年の脆弱性数は14,644件ほどでしたが、2022年には22,790件と、5年間で約56%も増加していることがわかります。
また2022年においては、深刻度が最も高いCritical(棒グラフの黒い部分)と深刻度が2番目に高いHigh(棒グラフの赤い部分)の脆弱性が、全体の約60%を占める結果になっています。
上記のように、深刻度の高い脆弱性を含め件数が増加していることから、CVSSを用いた脆弱性評価と適切な取り組みの重要性がうかがえるでしょう。
CVSSの理解に必要な、情報セキュリティの3要件
CVSSの評価基準を理解するにあたり、簡単に「情報セキュリティの3要件」について説明します。
企業や組織が情報セキュリティ対策に取り組む際、「機密性」「完全性」「可用性」の3要素に関する脅威から、情報資産を保護することが求められます。
▼情報セキュリティにおける3要素
| 機密性 | 機密性(Confidentiality)とは、許可された正規のユーザーだけが対象のデータにアクセスできるよう、システムを構成すること。
情報が機密性を保つことで、権限のない者による不正利用や情報漏洩を防ぐことが期待される。 |
|---|---|
| 完全性 | 完全性(Integrity)とは、保有する情報に欠損や間違いがなく、さらに最新である状態を保持すること。
完全性を保つことは、データの信頼性を保証する役割を果たす。 |
| 可用性 | 可用性(Availability)とは、ユーザーが必要な時に情報資産を利用できる状態を構成すること。
何らかの障害(故障、災害、不慮の事故など)が起こった際も停止することなく、稼働できるシステムは可用性が高く、業務の効率向上やユーザー満足度の向上に繋がる。 |
情報セキュリティの3要件は、それぞれの頭文字を並べて「CIA」と表記される場合もあります。
CVSS、脆弱性を評価する「3つの基準」
CVSSでは、以下3つの評価基準を組み合わせて評価をします(CVSS v3.0)。
- 基本評価基準
- 現状評価基準
- 環境評価基準
※ただし「CVSS V4.0」より、「2.現状評価基準」は「脅威評価基準」へ名称が変更されています。
ここからはv3.0をベースに、CVSSにおける3つの評価基準について詳しく解説します。
1.基本評価基準(Base Metrics)
基本評価基準とは、脆弱性そのものの特性を評価する基準です。
脆弱性により、先述した情報セキュリティの3要素「機密性」「完全性」「可用性」に与えられる影響を評価し、数値で算出します。
基本評価基準は、以下8つの項目で評価します。
| 診断項目 | 内容 |
|---|---|
| 1.攻撃元区分 | 脆弱性のあるシステムをどこから攻撃できるのかを評価。 ローカルアクセス権限、USB等のローカル環境、Bluetooth等の隣接環境、インターネット等のネットワーク環境がある |
| 2.攻撃条件の複雑さ | いつでも攻撃ができるのか、アクセス権限の付与など特定の条件が必要なのかなど、攻撃に必要な条件の複雑さを評価する項目 |
| 3.必要な特権レベル | 攻撃の際に必要な権限のレベルを評価する |
| 4.ユーザ関与レベル | リンクへのアクセスやファイルの閲覧など、ユーザーがどの程度攻撃に関与するのかを評価する |
| 5.スコープ | 攻撃が与える影響範囲を評価する項目 |
| 6.機密性への影響 | 機密性への影響を評価する項目 |
| 7.完全性への影響 | 完全性への影響を評価する項目 |
| 8.可用性への影響 | 可用性への影響を評価する項目 |
基本評価基準による評価結果は固定しており、時間の経過や利用環境の異なりによって変化しないという特徴があります。
ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
2.現状評価基準(Temporal Metrics)
現状評価基準とは、脆弱性の現在の深刻度を評価する基準です。脆弱性の対応状況に応じて、時間の経過とともに評価結果が変わるのが特徴です。
ベンダーや脆弱性を公表する組織が、脆弱性の現状を示すために利用する評価基準となります。
現状評価基準は、以下3つの項目で評価します。
- 攻撃される可能性
- 利用可能な対策のレベル
- 脆弱性情報の信頼性
まず「攻撃される可能性」は、攻撃コードや攻撃手法が本当に使用できるのかを評価する項目です。「理論上でのみ存在している」「完成度は低いが実証コードは存在する」「大体の状況で攻撃コードが使用できる」「どのような状況でも攻撃ができる」「この項目を評価しない」の、いずれかに区分されます。
次に「利用可能な対策のレベル」は、脆弱性の対策がどの程度利用可能であるかを評価する項目です。「利用可能な対策がない」「製品開発者からの正式対策が利用できる」「製品開発者からの暫定対策が利用できる」「製品開発者以外からの非公式な対策であれば利用できる」「この項目を評価しない」のいずれかに区分されます。
最後に「脆弱性情報の信頼性」は、脆弱性に関する情報の信頼度を評価する項目です。
「未確認の情報が存在する」「セキュリティベンダーや調査団体から、非公式情報が複数存在する」「製品開発者が脆弱性情報を確認している/実証コードや攻撃コードなど広い範囲で確認されている」「この項目を評価しない」の、いずれかに該当します。
3、環境評価基準(Environmental Metrics)
環境評価基準とは、製品を利用するユーザー側の環境も含め、最終的な脆弱性の深刻度を評価する基準です。ユーザーごとに評価結果が変わるのが特徴です。
環境評価基準は、以下2つの項目で評価します。
- 対象システムのセキュリティ要求度
- 環境条件を加味した基本評価の再評価
「対象システムのセキュリティ要求度」は、機密性、完全性、可用性の要求度を項目ごとに評価。未評価、高、中、低で評価され、該当項目が失われた場合の影響度を表します。評価が高いほど、項目が失われた場合の影響が大きくなります。
「環境条件を加味した基本評価の再評価」は、攻撃の難易度・影響を再評価する項目です。「1.基本評価基準」で用いた8つの診断項目を、現時点での利用環境・緩和策や対策後の利用環境に対して再評価します。
CVSS スコアの算出方法について
CVSSのスコアは先ほど紹介した、「基本評価基準」「現状評価基準」「環境評価基準」を順に評価し、最終的なスコアを算出します。脆弱性の深刻度は0(低)〜10.0(高)の数値でスコアリングされます。
| 数値 | 深刻度のレベル |
|---|---|
| 9.0~10.0 | 緊急 |
| 7.0~8.9 | 重要 |
| 4.0~6.9 | 警告 |
| 0.1~3.9 | 注意 |
| 0 | なし |
詳しい計算式などは「IPA公式サイト」にて紹介されているので、そちらを参考にするのがよいでしょう。
またJVNサイトの「CVSS計算ソフトウェア」を利用することで、容易にCVSSスコアを算出することが可能です。
出典:JVN iPedia|共通脆弱性評価システム (Common Vulnerability Scoring System) Version 3.1 Calculator
データベース「JVN iPedia」で、各脆弱性のCVSS値や対策が探せる
脆弱性のCVSS値や対策を知りたいのであれば、「JVN iPedia」を利用するのがおすすめです。JVN iPediaは、JPCERT/CCと情報処理推進機構(IPA)が共同で管理し、国内外の脆弱性対策情報を収集・蓄積しているデータベースです。
様々な検索機能があり、脆弱性の概要をはじめ、CVSS の値(深刻度)や脆弱性への対策といった情報を得ることができます。
最新の脆弱性情報は、発見から1週間程度を目安に公表されるので、比較的すぐに最新の情報を得ることが可能です。ただし優先度や信頼性の担保などから、中には公開時期が遅れる場合もあるため注意してください。
CVSSバージョン4.0(V4.0)のリリースと変更点
CVSSは2023年11月に、最新のバージョンとなる「CVSS v4.0」がリリースされました。2019年のCVSS v3.1の公開から、約4年ぶりの改訂となります。
「基本評価基準」「現状評価基準」「環境評価基準」それぞれについて、CVSS v3.1との変更点について見ていきましょう。
1.CVSS v4.0「基本評価基準」の変更点
まず、基本評価基準の変更点は以下の3つです。
- 「攻撃の実行条件」の追加
- 「スコープ」が廃止され、「後続システムの機密性への影響」「後続システムの完全性への影響」「後続システムの可用性への影響」の3項目が追加
- 「ユーザ関与レベル」の評価値が2択から3択に変更
基本評価基準では、攻撃の難易度や影響力を図る項目の見直し・ユーザ関与レベルの評価細分化により、今までよりも精密な深刻度の算出が可能となっています。
2.CVSS v4.0「現状評価基準」の変更点
次に、現状評価基準の変更点は以下の2つです。
- 脅威評価基準という名称に変更
- 評価項目が1つになった
現状評価基準は、「脅威評価基準」という名称に変更されました。
さらに、「利用可能な対策のレベル」「脆弱性情報の信頼性」の評価項目は、最終的なCVSSスコアにあまり影響を与えないという理由から削除され、「攻撃性される可能性」のみになりました。
3.CVSS v4.0「環境評価基準」の変更点
最後に、環境評価基準の変更点は以下です。
- 「緩和策実施後の基本評価の再評価」の一部評価項目における評価値が変更
環境評価基準では「緩和策実施後の基本評価の再評価」にて、一部評価項目における評価値の変更が行われました。
具体的には、「後続システムの完全性への影響」「後続システムの可用性への影響」に、追加の評価値が設定されています。基本評価基準では、「高」「低」「なし」の3段階でしたが、「緩和策実施後の基本評価の再評価」では「安全性」「高」「低」「なし」の4段階となりました。
このほかにも、「CVSS v4.0」からは、基本評価基準、脅威評価基準、環境評価基準に加えて「補助評価基準」が新たに追加されました。
補助評価基準は、基本評価基準、脅威評価基準、環境評価基準に基づいて算出されたスコアの文脈を補足するもので、CVSSスコアの算出には使用されません。
また「CVSS v4.0」では、どの評価基準を使用してスコアリングしたかを明確化するため、以下の命名方法が、新たに提供されました。
- CVSS-B
基本評価基準のみを利用して算出 - CVSS-BE
基本評価基準と環境評価基準を利用して算出 - CVSS-BT
基本評価基準と脅威評価基準を利用して算出 - CVSS-BTE
基本評価基準、脅威評価基準、環境評価基準を利用して算出
CVSSも参考にした脆弱性診断なら、リピート率90%のLANSCOPEプロフェッショナルサービスにお任せ
CVSSを用いることで
- 情報システムの脆弱性の深刻度を、数値化できる
- どの脆弱性から対処すべきか、定量的に優先順位付けができる
といったメリットがあることは、お伝えした通りです。
LANSCOPE プロフェッショナルサービスでは、CVSSを参考とした評価基準で、お客様のサーバーやネットワーク・アプリケーションの脆弱性を明らかにする「脆弱性診断」サービスを提供しています。
経験豊富なエキスパートが、お客様の利用環境に潜む脆弱性・セキュリティリスクを洗い出すことで、効率的な脆弱性対策を実現することが可能。リスクレベルや種類だけでなく、適切な対策内容もあわせてお伝えし、組織のセキュリティレベル向上を支援します。
▼脆弱性診断サービス 一覧
- Webアプリケーション脆弱性診断
- ネットワーク診断
- スマートフォンアプリケーション脆弱性診断
- ゲームセキュリティ診断
- IoT 脆弱性診断
- ペネトレーションテスト
- サイバーリスク健康診断
- セキュリティコンサルティング
また事業会社・開発企業・官公庁などのお客様より、リピート率”90%”を誇る高品質な診断が特徴です。
「自社環境やサービスの脆弱性に懸念がある」
「診断ツールではなく、プロの目による診断を受けたい」
とお考えの担当者様は、ぜひ一度お問い合わせください。お客様のご都合・予算等に応じて、最適なプランをご紹介させていただきます。
「まずは基礎的な脆弱性診断を行いたい」というお客様向けに、低コスト・短期で診断が実施できる「セキュリティ健康診断パッケージ」も提供しています。
ご利用中のクラウドサービスの設定を見直す、クラウドセキュリティ診断
弊社では脆弱性診断に加え、ご利用中のクラウドサービス(AWS、Microsoft 365、Azure等)の設定ミスをプロが診断し、セキュリティ事故の要因を根本から改善する「クラウドセキュリティ診断」を提供しています。
「多要素認証」をはじめ、アクセス権限の見直しや認証方法の設定など、不正ログインの火種となる設定不備を洗い出し、専門のベンダーが正しい対策をご提案。攻撃者による従業員アカウントへの不正アクセス、あるいは内部不正による情報漏洩などを未然に防ぎます。
「クラウドセキュリティ診断」の詳細は、以下よりご覧ください。
まとめ
本記事では「CVSS」をテーマに、その概要や評価基準・最新バージョンである「CVSS v4.0」について説明しました。
本記事のまとめ
- CVSSは、情報システムの脆弱性の深刻度を評価する、ベンダーに寄らない国際的な指標
- 脆弱性の深刻度を0.0~10.0で数値化でき、脆弱性対策の優先度が定量的に判断できる
- 「基本評価基準」「現状評価基準」「環境評価基準」の3つの評価基準を組み合わせて評価する(「CVSS v4.0」より、現状評価基準から脅威評価基準に改名)
- 2023年11月に、最新バージョン「CVSS v4.0」がリリース
本記事が皆さんの「CVSS」「脆弱性対策」の理解に役立ちましたら幸いです。
また、LANSCOPE プロフェッショナルサービスでは、優秀なエキスパートがCVSSに則り、お客様のシステムやサーバー、アプリケーションを診断する「脆弱性診断」サービスを提供しています。
以下に「3分でわかる脆弱性診断」の資料をご用意しました、ぜひ合わせてご覧ください。
関連する記事
