CVSS(共通脆弱性評価システム) しーぶいえすえす
CVSSとは
CVSS(Common Vulnerability Scoring System/共通脆弱性評価システム) は、ソフトウェアやハードウェアに発見された脆弱性(セキュリティ上の欠陥)の深刻度を、0.0〜10.0 の数値スコアで客観的に表現するための国際標準の評価手法です。スコアが高いほど深刻で、10.0 が最も危険な「Critical(緊急)」を意味します。
CVSSが生まれる前は、「この脆弱性は危険」「あれはそれほどでも」という評価がベンダーや組織ごとにバラバラで、優先対応の判断が難しい状況でした。CVSSを使うことで、「スコア 9.0 以上は今週中にパッチ適用」 といったルールを組織全体で統一できます。IT部門だけでなく、発注担当者や経営層が「どの問題を先に直すべきか」を判断するための共通言語にもなっています。
現在は FIRST(Forum of Incident Response and Security Teams) が標準化を主導しており、米国国立標準技術研究所(NIST)が運営する脆弱性データベース NVD(National Vulnerability Database) でも CVSSスコアが公式に採用されています。
CVSSスコアの構成要素
CVSSスコアは、3つの「メトリクスグループ」から構成されています。それぞれが異なる観点で脆弱性を評価し、最終的な総合スコアを算出します。
| グループ | 英語名 | 役割 | 誰が決める? |
|---|---|---|---|
| 基本値(Base Score) | Base Metrics | 脆弱性そのものの固有の深刻度 | 脆弱性を発見・分析した機関 |
| 現状値(Temporal Score) | Temporal Metrics | 今現在の攻撃しやすさ・対策状況 | セキュリティベンダー等 |
| 環境値(Environmental Score) | Environmental Metrics | 自分の組織環境での深刻度 | 利用する組織自身 |
最もよく使われるのが 基本値(Base Score) で、さらに以下の2軸から構成されます。
基本値を構成する6つの指標
| 指標 | 略称 | 意味 |
|---|---|---|
| 攻撃経路 | AV | ネット越しに攻撃できるか、物理接触が必要かなど |
| 攻撃の複雑さ | AC | 攻撃を成功させるのが簡単か難しいか |
| 必要な権限 | PR | 攻撃者に事前の権限が必要か |
| ユーザー関与 | UI | 被害者の操作(クリック等)が必要か |
| 影響の範囲 | S | 影響が他システムに波及するか |
| 機密性・完全性・可用性への影響 | C/I/A | データ漏洩・改ざん・停止のリスク |
スコアと深刻度ランクの早見表
| スコア | ランク | 日本語 | 対応の目安 |
|---|---|---|---|
| 9.0〜10.0 | Critical | 緊急 | 即時対応(数日以内) |
| 7.0〜8.9 | High | 重要 | 優先対応(1〜2週間) |
| 4.0〜6.9 | Medium | 警告 | 計画的に対応 |
| 0.1〜3.9 | Low | 注意 | リスク許容も検討可 |
| 0.0 | None | なし | 対応不要 |
覚え方のコツ
「攻撃難易度と影響の掛け算がスコア」 と覚えよう!
「誰でも・どこからでも・勝手に攻撃できて・全部壊れる」= 10点満点のイメージ。
歴史と背景
- 2003年 — FIRST が CVSS の初版(v1)を策定。統一基準の必要性から生まれた
- 2007年 — CVSS v2 公開。評価指標が整理され、NVD での採用が本格化
- 2015年 — CVSS v3.0 公開。「スコープ(影響範囲)」指標が追加され、より精緻な評価が可能に
- 2019年 — CVSS v3.1 公開。v3.0 の細部を修正・明確化
- 2023年 — CVSS v4.0 公開。OT(産業制御システム)・IoT 環境への対応や、脅威インテリジェンスとの統合が強化された
- 現在 — 世界中のセキュリティ製品・サービス・規制(PCI DSS 等)で CVSS スコアが基準として組み込まれている
CVSSスコアと他の脆弱性管理の枠組みとの関係
CVSS は単独で使うのではなく、他の仕組みと組み合わせて使います。全体像を図解します。
CVSSスコアと EPSS の違い
近年、EPSS(Exploit Prediction Scoring System) という指標も登場しています。
| 指標 | 何を測る? | 使い方 |
|---|---|---|
| CVSS | 脆弱性の「理論的な深刻度」 | 基本的な優先順位付け |
| EPSS | 実際に攻撃される「確率」(0〜100%) | より現実的なリスク評価 |
CVSSスコアが高くても攻撃ツールが出回っていなければ EPSS は低く、CVSSが中程度でも野良の攻撃コードが流通していれば EPSS は高くなります。両方を組み合わせて判断するのが現代の脆弱性管理のベストプラクティスです。
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| CVSS v4.0仕様書(FIRST) | CVSS v4.0 の公式仕様。FIRST が策定・管理 |
| NIST NVD CVSS | NVD における CVSS スコア算出・解説ページ |
| RFC 9116 | security.txt の標準化(脆弱性報告窓口の明示)。CVSS活用と関連 |
関連用語
- CVE — 個々の脆弱性に割り振られる固有の識別番号(脆弱性の「名前」)
- NVD — NISTが運営する脆弱性データベース。CVEとCVSSスコアを収録
- 脆弱性管理 — 組織のシステムにある脆弱性を継続的に発見・評価・修正するプロセス
- パッチ管理 — ソフトウェアの修正プログラム(パッチ)を計画的に適用する管理手法
- ペネトレーションテスト — 実際に攻撃を試みてシステムの弱点を発見するセキュリティ検査
- EPSS — 脆弱性が実際に悪用される確率を予測するスコアリングシステム
- ゼロデイ脆弱性 — 修正パッチが存在しない状態で悪用される脆弱性
- SLA — サービスレベル合意。CVSSスコアに基づく対応期限を契約に定める際に使う