CVSS（共通脆弱性評価システム）とは何ですか？

脆弱性の深刻度を0.0〜10.0のスコアで数値化する国際標準の評価手法。

CVSS（共通脆弱性評価システム）のポイントは？

Common Vulnerability Scoring Systemの略。0.0（影響なし）〜10.0（極めて深刻）のスコアで評価。基本評価基準、現状評価基準、環境評価基準の3つの指標で構成。パッチ適用の優先順位付けに不可欠な指標

【しーぶいえすえす】

💡 脆弱性の「危険度」を数値で見える化する

📌 このページのポイント

CVSSスコアのイメージ

ひよこ

スコアの目安は？

ペンギン先生

0.0は影響なし、0.1〜3.9が低、4.0〜6.9が中、7.0〜8.9が高、9.0〜10.0が緊急だよ。Log4Shellは10.0で最高レベル。一般的に7.0以上は早急にパッチ適用、9.0以上は即日対応が推奨される。企業のセキュリティポリシーでスコア別の対応期限を決めておくのがベストだね

ひよこ

どうやって計算するの？

ペンギン先生

攻撃元区分（ネットワーク越しか物理アクセスが必要か）、攻撃条件の複雑さ、必要な権限レベル、ユーザーの操作が必要か、影響の範囲、機密性・完全性・可用性への影響…これらの項目を評価してスコアが算出される。NVDのサイトで計算ツールが公開されているよ

ひよこ

CVSSスコアだけで判断していい？

ペンギン先生

スコアは参考になるけど、自社環境に当てはめて考えることが重要だよ。CVSS 9.0の脆弱性でも、対象のソフトウェアを使っていなければ関係ない。逆にCVSS 6.0でも、自社の重要システムが該当するなら優先度は高い。CVSSに「自社の環境」を加味して判断するのが正しい使い方だね

ひよこ

CVSS v4.0で何が変わった？

ペンギン先生

v3.1からの主な変更は、「補助評価基準」が追加されたこと。攻撃の自動化可能性や、実際に悪用されているかどうかも加味できるようになった。スコアの粒度も改善されて、より実態に即した評価ができるようになったよ

まとめ：ざっくりこれだけ覚えればOK！

「CVSS」って出てきたら「脆弱性の深刻度を数値で評価する仕組み」と思えればだいたいOK！

📖 おまけ：英語の意味

「Common Vulnerability Scoring System」＝共通脆弱性評価システム

💬 FIRST（Forum of Incident Response and Security Teams）が管理。現在のバージョンはCVSS v4.0だよ