サイバー犯罪者はOSやソフトウェア、ハードウェアなどのセキュリティ脆弱性を次々と探し、攻撃してきます。これらの脆弱性に対し、その深刻度合いを評価できるのがCVSSです。
CVSSは脆弱性を複数の基準によって点数化し、深刻度を評価する手法です。企業や組織のセキュリティを守る上で、判断しづらい脆弱性への対応の必要性を検討するために活用できます。
本記事では、CVSS(共通脆弱性評価システム)の概要から、評価基準、値の算出方法、値の見方などを解説します。
また、LRMでも、自社のセキュリティ脆弱性がどこにあるのか見つけられるセキュリティチェックシートを無料で配布しています。コンサルタント監修の濃い内容となっておりますので、ぜひお役立てください。
CVSSとは
CVSS(Common Vulnerability Scoring System)は、日本語では「共通脆弱性評価システム」となります。情報システムの脆弱性に対するオープンで包括的、汎用的な評価基準と手法です。
米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトとして2004年に原案が作成され、後にFIRST(Forum of Incident Response and Security Teams)が管理母体となっています。
日本からも独立行政法人情報処理推進機構(IPA)が参画し、日本語版のツールなどを提供しています。
CVSSの脆弱性評価基準
CVSSは、各種の情報システムに関する脆弱性に対し、ベンダーに依存せず汎用的に利用できる共通の評価方法です。CVSSを用いることで、脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能です。ベンダー、情報システム部門、セキュリティエンジニア、ユーザーなどの関係者間での共通認識を持つことができます。
2023年3月22日時点の最新バージョンは、2015年にリリースされたCVSS v3です。
このCVSSでは、次の3つの基準で脆弱性を評価します。
基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、「機密性( Confidentiality Impact )」、「完全性( Integrity Impact )」、「可用性( Availability Impact )」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。
この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。
ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
引用元:独立行政法人情報処理推進機構「共通脆弱性評価システムCVSS概説」https://www.ipa.go.jp/security/vuln/scap/cvss.html
脆弱性そのものに対する基礎的な評価基準といえます。
現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。
この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。
ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。
引用元:独立行政法人情報処理推進機構「共通脆弱性評価システムCVSS概説」https://www.ipa.go.jp/security/vuln/scap/cvss.html
現状の脆弱性の評価です。拡散度合いやセキュリティパッチの提供などにより状態は変化します。
環境評価基準(Environmental Metrics)
「製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。
この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。
製品利用者が脆弱性への対応を決めるために評価する基準です。
引用元:独立行政法人情報処理推進機構「共通脆弱性評価システムCVSS概説」https://www.ipa.go.jp/security/vuln/scap/cvss.html
システムや製品の利用環境固有の評価基準です。利用する企業や組織の環境に当てはめて算出する内容となります。
CVSSの値算出方法
評価基準項目が3つの項目に対して用意され、それぞれに評価結果(選択式)に対し、値が定められています。これを、全基準項目に対して算出し、合計することでCVSSの値が算出できます。合計は0~10.0の値となります。なお、CVSS v3の算出ツールはこちらに公開されています。
- 基本評価基準の項目
-
- 攻撃元区分(AV)
- 攻撃条件の複雑さ(AC)
- 必要な特権レベル(PR)
- ユーザ関与レベル(UI)
- スコープ
- 機密性への影響(C)
- 完全性への影響(I)
- 可用性への影響(A)
- 現状評価基準の項目
-
- 攻撃される可能性(E)
- 利用可能な対策のレベル(RL)
- 脆弱性情報の信頼性(RC)
- 環境評価基準の項目
-
- 対象システムのセキュリティ要求度(CR,IR,AR)
- 緩和策後の攻撃元区分(MAV)
- 緩和策後の攻撃条件の複雑さ(MAC)
- 緩和策後の必要な特権レベル(MPR)
- 緩和策後のユーザ関与レベル(MUI)
- 緩和策後のスコープ(MS)
- 緩和策後の機密性への影響(MC)
- 緩和策後の完全性への影響(MI)
- 緩和策後の可用性への影響(MA)
各評価項目の選択肢と値については、IPAのサイト「共通脆弱性評価システムCVSS v3概説」にてご確認ください。
CVSSの評価の見方
CVSSの値は、脆弱性の深刻度を0(低)~10.0(高)で表現するものとなります。
この深刻度はゾーニングされており、下記のマトリクスにまとめられます。
| 深刻度 | スコア |
|---|---|
| 緊急度 | 9.0~10.0 |
| 重要度 | 7.0~8.9 |
| 警告 | 4.0~6.9 |
| 注意 | 0.1~3.9 |
| なし | 0 |
7.0以上の場合は危険とされ、該当のセキュリティ脆弱性に対してはすぐさま対応が必要な状況です。
CVSSの評価事例
これまでに広く利用されるIT製品において発見された脆弱性について、脆弱性対策情報データベース(JVNiPedia)ではCVSSでの評価を掲示しています。いくつか事例を紹介します。
| 番号 | 掲載日 | 概要 | 深刻度 |
|---|---|---|---|
| JVNDB-2013-001148 | 2013/01/18 | MySQL ServerのServer Replicationに関する処理の不備により、機密性と完全性に影響のある脆弱性が発見された | CVSS v2による深刻度 基本値:5.5(警告) |
| JVNDB-2015-002134 | 2015/04/13 | Apple iOS およびApple OS XのiWorkには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が発見された。 | CVSS v2による深刻度 基本値:6.8(警告) CVSS v3による深刻度 基本値:7.8(重要) |
| JVNDB-2023-001283 | 2023/02/28 | Microsoft SQL Serverの、リモートでコードを実行される脆弱性が発見されました。 | CVSS v3による深刻度 基本値:8.8(重要) |
まとめ
CVSSは各種の脆弱性に対する、オープンで包括的、汎用的な評価基準と手法です。あらゆるセキュリティ脆弱性に対しCVSSを適用することで、深刻度合いを評価できるため、企業や組織の情報セキュリティ担当者にとって有用な手段となります。2023年3月時点では最新はCVSS v3で、評価のためのツールなども公開されているため、ご活用ください。
LRMのセキュリィチェックシートもぜひダウンロードしてご活用ください。
