共通脆弱性評価システム

Standard for assessing computer system vulnerabilities

共通脆弱性評価システム
略語	CVSS
状態	アクティブ
初版	2005年2月 (2005-02)
最新バージョン	4.0
組織	インシデント対応およびセキュリティチームのフォーラム
ドメイン	情報セキュリティ
Webサイト	www.first.org/cvss/

共通脆弱性評価システム（CVSS ）は、コンピューティングシステムにおけるセキュリティ脆弱性の深刻度を評価するためのオープンフレームワークです。スコアは、エクスプロイトの容易さと影響度を概算する複数の指標を用いた式に基づいて算出されます。スコアは0から10までで、10が最も深刻です。多くの人は深刻度の判断にCVSS基本スコアのみを使用していますが、緩和策の可用性と組織内における脆弱なシステムの広がりを考慮するために、時間的スコアと環境的スコアも存在します。^[1]

CVSSの現在のバージョン（CVSSv4.0）は2023年11月にリリースされました。^[2]

CVSSはパッチ管理の優先順位付けの手段として使用されることを意図していませんが、実際にはそのように使用されています。^[3]より効果的なアプローチは、CVSSをエクスプロイト予測スコアリングシステム（EPSS）などの予測モデルと統合することです。EPSSは、実際の悪用の可能性に基づいて修復作業の優先順位付けに役立ちます。^[4]

歴史

2003年から2004年にかけて国家インフラ諮問委員会（NIAC）が行った調査に基づき、2005年2月にCVSSバージョン1（CVSSv1）が公開されました^[5]。その目標は「ソフトウェア脆弱性のオープンかつ普遍的に標準化された重大度評価を提供すること」でした。この初期草案は、ピアレビューや他の組織によるレビューを受けていません。2005年4月、NIACは、将来のCVSS開発のために、インシデント対応およびセキュリティチームフォーラム（FIRST）をCVSSの管理者として選定しました^{[6] [7] 。}

CVSSv1を本番環境で使用しているベンダーからのフィードバックによると、「CVSSの初期ドラフトには重大な問題がある」ことが示唆されました。CVSSバージョン2（CVSSv2）の作業は2005年4月に開始され、最終仕様は2007年6月に発表されました。^[8]

さらなるフィードバックの結果、2012年にCVSSバージョン3 ^[9]の作業が開始され、2015年6月にCVSSv3.0がリリースされました。^{[10] [5]}

用語

CVSS 評価では、次の 3 つの懸念領域を測定します。

1. 脆弱性に固有の特性に関する基本指標
2. 脆弱性の存続期間中に変化する特性の時間的指標、および
3. 特定の実装または環境に依存する脆弱性の環境メトリック。

これらのメトリックグループごとに数値スコアが生成されます。ベクター文字列（CVSSv2では単に「ベクター」）は、すべてのメトリックの値をテキストブロックとして表します。

バージョン2

CVSSv2の完全なドキュメントはFIRSTから入手できます。^[11]以下に概要を示します。

基本指標

アクセスベクター

アクセス ベクトル (AV) は、脆弱性がどのように悪用される可能性があるかを示します。

価値	説明	スコア
ローカル（L）	攻撃者は、脆弱なシステムへの物理的なアクセス権 (例:ファイアワイヤ攻撃) またはローカル アカウント (例:権限昇格攻撃) を持っている必要があります。	0.395
隣接ネットワーク（A）	攻撃者は、脆弱なシステムのブロードキャスト ドメインまたは衝突ドメインにアクセスできる必要があります (例: ARP スプーフィング、Bluetooth 攻撃)。	0.646
ネットワーク（N）	脆弱なインターフェースは、 OSIネットワークスタックのレイヤー3以上で動作しています。これらのタイプの脆弱性は、リモートから悪用可能であると説明されることがよくあります（例：ネットワークサービスにおけるリモートバッファオーバーフロー）。	1.0

アクセスの複雑さ

アクセス複雑度 (AC) メトリックは、発見された脆弱性を悪用することがどれだけ容易か困難かを表します。

価値	説明	スコア
高（H）	狭いウィンドウでの競合状態や、知識のある人ならすぐに気付くソーシャル エンジニアリング手法の要件など、特殊な条件が存在します。	0.35
ミディアム（M）	攻撃には、攻撃元を制限したり、脆弱なシステムを通常とは異なるデフォルト構成で実行したりする必要があるなど、いくつかの追加要件があります。	0.61
低（L）	システムが多数のユーザーに利用可能であったり、脆弱な構成が広く普及していたり​​するなど、脆弱性を悪用するための特別な条件はありません。	0.71

認証

認証（Au）メトリックは、攻撃者が標的を悪用するために認証しなければならない回数を表します。これには（例えば）ネットワークへのアクセスを得るための認証は含まれません。ローカルで悪用可能な脆弱性の場合、最初のアクセス後に追加の認証が必要な場合のみ、この値を「Single」または「Multiple」に設定する必要があります。

価値	説明	スコア
複数（M）	この脆弱性を悪用するには、攻撃者が毎回同じ資格情報を使用する場合でも、2 回以上認証する必要があります。	0.45
シングル（S）	攻撃者が脆弱性を悪用するには、一度認証を行う必要があります。	0.56
なし（N）	攻撃者が認証する必要はありません。	0.704

影響指標

機密保持

機密性 (C) メトリックは、システムによって処理されるデータの機密性への影響を説明します。

価値	説明	スコア
なし（N）	システムの機密性には影響ありません。	0.0
部分的（P）	かなりの情報が公開されていますが、損失の範囲は制限されており、すべてのデータが利用可能というわけではありません。	0.275
完了（C）	完全な情報開示が行われ、システム上のあらゆるデータへのアクセスが許可されます。あるいは、一部の限定された情報のみへのアクセスが許可されますが、開示された情報は直接的で深刻な影響を及ぼします。	0.660

誠実さ

整合性 (I) メトリックは、悪用されたシステムの整合性への影響を説明します。

価値	説明	スコア
なし（N）	システムの整合性には影響はありません。	0.0
部分的（P）	一部のデータやシステムファイルの変更は可能ですが、変更の範囲は制限されています。	0.275
完了（C）	整合性が完全に失われ、攻撃者はターゲット システム上のあらゆるファイルや情報を変更できます。	0.660

可用性

可用性（A）メトリックは、対象システムの可用性への影響を表します。ネットワーク帯域幅、プロセッササイクル、メモリ、その他のリソースを消費する攻撃は、システムの可用性に影響を与えます。

価値	説明	スコア
なし（N）	システムの可用性には影響はありません。	0.0
部分的（P）	パフォーマンスが低下したり、一部の機能が失われます。	0.275
完了（C）	攻撃を受けたリソースの可用性は完全に失われます。	0.660

計算

これら6つの指標は、脆弱性の悪用可能性と影響度のサブスコアを計算するために使用されます。これらのサブスコアは、全体のベーススコアを計算するために使用されます。

${\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}}$

${\displaystyle {\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))}$

${\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}}$

${\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))}$

メトリックは連結され、脆弱性の CVSS ベクトルが生成されます。

例

バッファオーバーフローの脆弱性は、Web サーバーソフトウェアに影響を及ぼし、リモート ユーザーがシステムを部分的に制御してシャットダウンする機能などを取得できるようになります。

メトリック	価値	説明
攻撃ベクトル	ネットワーク	この脆弱性は、ターゲット システムにアクセスできるあらゆるネットワーク (通常はインターネット全体) からアクセスされる可能性があります。
攻撃の複雑さ	低い	アクセスには特別な要件はありません。
認証	なし	この脆弱性を悪用するために認証は必要ありません。
機密保持	部分的	攻撃者はシステム上の一部のファイルやデータを読み取ることができます。
誠実さ	部分的	攻撃者はシステム上の一部のファイルやデータを変更する可能性があります。
可用性	完了	攻撃者はシステムをシャットダウンすることで、システムと Web サービスが利用できなくなったり、応答しなくなったりする可能性があります。

この場合、悪用可能性のサブスコアは10、影響度のサブスコアは8.5となり、全体の基本スコアは9.0となります。この場合の基本スコアのベクトルは、AV:N/AC:L/Au:N/C:P/I:P/A:Cとなります。スコアとベクトルは通常、受信者が脆弱性の性質を完全に理解し、必要に応じて独自の環境スコアを計算できるようにするために、一緒に提示されます。

時間的指標

時間的メトリックの値は、脆弱性の存続期間中、エクスプロイトが開発、公開、自動化され、緩和策や修正プログラムが利用可能になるにつれて変化します。

悪用可能性

悪用可能性 (E) メトリックは、悪用手法または自動化された悪用コードの現在の状態を表します。

価値	説明	スコア
未証明（U）	エクスプロイト コードは利用できない、またはエクスプロイトは理論上のものです。	0.85
概念実証（P）	概念実証用のエクスプロイトコードやデモ攻撃は利用可能ですが、広範囲に利用するのは現実的ではありません。脆弱性のあらゆるインスタンスに対して機能するわけではありません。	0.9
機能的（F）	機能的なエクスプロイト コードが利用可能であり、脆弱性が存在するほとんどの状況で機能します。	0.95
高（H）	この脆弱性は、モバイル コード (ワームやウイルスなど) を含む自動化コードによって悪用される可能性があります。	1.0
未定義（ND）	これは、このスコアを無視する信号です。	1.0

修復レベル

脆弱性の修復レベル (RL) により、緩和策や公式の修正が利用可能になると、脆弱性の一時スコアが下がります。

価値	説明	スコア
公式修正 (O)	完全なベンダー ソリューション (パッチまたはアップグレード) が利用可能です。	0.87
一時的な修正（T）	ベンダーから公式ではあるが一時的な修正/緩和策が提供されています。	0.90
回避策（W）	非公式でベンダーが提供していないソリューションまたは緩和策が利用可能です。これらは、影響を受ける製品のユーザーまたは別のサードパーティによって開発または提案された可能性があります。	0.95
利用不可（U）	利用可能な解決策がないか、提案された解決策を適用できない状態です。これは、脆弱性が特定された場合の修復レベルの通常の初期状態です。	1.0
未定義（ND）	これは、このスコアを無視する信号です。	1.0

レポートの信頼性

脆弱性のレポート信頼度 (RC) は、脆弱性の存在に対する信頼度と、脆弱性の技術的詳細の信憑性を測定します。

価値	説明	スコア
未確認（UC）	未確認の単一の情報源、または複数の矛盾する情報源。脆弱性の噂。	0.9
裏付けなし（UR）	複数の情報源が概ね同意しているが、脆弱性については依然として不確実性が残っている可能性がある。	0.95
確認済み（C）	影響を受ける製品のベンダーまたは製造元によって認識および確認されています。	1.0
未定義（ND）	これは、このスコアを無視する信号です。	1.0

計算

これら 3 つのメトリックは、すでに計算されている基本スコアと組み合わせて使用​​され、脆弱性とその関連ベクトルの一時スコアを生成します。

時間スコアを計算するために使用される式は次のとおりです。

${\displaystyle {\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})}$

例

上記の例を続けると、ベンダーが最初に概念実証コードをメーリング リストに投稿して脆弱性を知った場合、初期の時間スコアは次の値を使用して計算されます。

メトリック	価値	説明
悪用可能性	概念実証	基本的なエクスプロイト機能を示すために、概念実証の非自動化コードが提供されています。
修復レベル	利用できません	ベンダーはまだ、緩和策または修正策を提供する機会がありません。
レポートの信頼性	未確認	脆弱性に関する報告が 1 件ありました。

この場合、時間スコアは 7.3 となり、時間ベクトルは E:P/RL:U/RC:UC (または完全なベクトル AV:N/AC:L/Au:N/C:P/I:P/A:C/E:P/RL:U/RC:UC) になります。

ベンダーが脆弱性を認めた場合、スコアは8.1に上がり、E:P/RL:U/RC:Cの時間ベクトルとなる。

ベンダーによる一時的な修正が行われた場合、スコアは7.3（E:P/RL:T/RC:C）まで低下しますが、公式の修正が行われた場合、スコアはさらに7.0（E:P/RL:O/RC:C）まで低下します。影響を受けるすべてのシステムが修正またはパッチ適用されているとは言い切れないため、ベンダーの対応によっては一時的なスコアが一定レベル以下に低下することはなく、脆弱性を悪用する自動エクスプロイトが開発された場合はスコアが上昇する可能性があります。

環境指標

環境指標は、脆弱性のある製品またはソフトウェアの導入方法を考慮し、ベーススコアと現在の一時スコアを用いて脆弱性の深刻度を評価します。この指標は、通常は影響を受ける当事者によって主観的に算出されます。

巻き添え被害の可能性

付随的損害の可能性 (CDP) メトリックは、脆弱性が悪用された場合に、機器 (および人命) などの物理的資産への潜在的な損失または影響、または影響を受ける組織への財務的影響を測定します。

価値	説明	スコア
なし（N）	財産、収益、生産性の損失の可能性なし	0
低（L）	資産への軽微な損害、または収益や生産性の軽微な損失	0.1
低中（LM）	中程度の損害または損失	0.3
中高（MH）	重大な損害または損失	0.4
高（H）	壊滅的な損害または損失	0.5
未定義（ND）	これは、このスコアを無視する信号です。	0

ターゲット分布

ターゲット分布 (TD) メトリックは、環境内の脆弱なシステムの割合を測定します。

価値	説明	スコア
なし（N）	対象システムが存在しないか、実験室環境にのみ存在する	0
低（L）	1～25%のシステムが危険にさらされている	0.25
ミディアム（M）	26～75%のシステムが危険にさらされている	0.75
高（H）	システムの76～100%が危険にさらされている	1.0
未定義（ND）	これは、このスコアを無視する信号です。	1.0

インパクトサブスコア修飾子

さらに 3 つのメトリックにより、機密性 (CR)、整合性 (IR)、可用性 (AR) に関する特定のセキュリティ要件が評価され、ユーザーの環境に応じて環境スコアを微調整できます。

価値	説明	スコア
低（L）	(機密性/整合性/可用性) の損失は、組織に限定的な影響しか及ぼさない可能性があります。	0.5
ミディアム（M）	（機密性 / 完全性 / 可用性）の損失は、組織に重大な影響を及ぼす可能性があります。	1.0
高（H）	（機密性 / 整合性 / 可用性）の損失は、組織に壊滅的な影響を及ぼす可能性があります。	1.51
未定義（ND）	これは、このスコアを無視する信号です。	1.0

計算

5 つの環境メトリックは、以前に評価された基本メトリックおよび時間メトリックと組み合わせて使用​​され、環境スコアを計算し、関連する環境ベクトルを生成します。

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))}$

${\displaystyle {\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}}$

${\displaystyle {\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})}$

例

前述の脆弱な Web サーバーが銀行によってオンライン バンキングサービスの提供に使用されており、ベンダーから一時的な修正が提供されている場合、環境スコアは次のように評価されます。

メトリック	価値	説明
巻き添え被害の可能性	中高	この価値は、脆弱なシステムが悪用された場合に攻撃者がどのような情報にアクセスできるかによって決まります。今回のケースでは、個人の銀行情報が漏洩したと想定しており、銀行の評判に重大な影響が生じる可能性があります。
ターゲット分布	高い	銀行のすべてのウェブサーバーは脆弱なソフトウェアを実行しています。
機密保持要件	高い	顧客は銀行情報が秘密にされることを期待しています。
誠実性要件	高い	財務情報や個人情報は許可なく変更できないようにする必要があります。
可用性要件	低い	オンラインバンキングサービスが利用できなくなると、顧客には不便が生じる可能性はありますが、壊滅的な事態には至りません。

この場合、環境スコアは8.2、環境ベクトルはCDP:MH/TD:H/CR:H/IR:H/AR:Lとなります。このスコアは7.0～10.0の範囲内であるため、影響を受ける銀行の事業において重大な脆弱性となります。

バージョン2に対する批判

いくつかのベンダーや組織は CVSSv2 に対する不満を表明しました。

オープンソース脆弱性データベース（ CVSS）を管理するRisk Based SecurityとOpen Security Foundationは共同で、CVSSv2の欠点と欠陥に関する公開書簡をFIRSTに提出しました。^[12]作成者は、いくつかの指標の粒度が不十分であり、その結果、CVSSベクトルとスコアは異なる種類やリスクプロファイルの脆弱性を適切に区別できないと指摘しました。また、CVSSスコアリングシステムは、脆弱性の正確な影響について過度の知識を必要としていると指摘されました。

オラクルは、公式CVSS仕様における部分的と完全の間の説明における認識されたギャップを埋めるために、機密性、整合性、可用性について「部分的+」という新しいメトリック値を導入しました。^[13]

バージョン3

これらの批判に対処するため、2012年にCVSSバージョン3の開発が開始されました。最終仕様はCVSSv3.0と命名され、2015年6月にリリースされました。仕様書に加えて、ユーザーガイドと例のドキュメントもリリースされました。^[14]

いくつかの指標が変更、追加、削除されました。数値計算式は、既存の0～10のスコア範囲を維持しながら、新しい指標を組み込むように更新されました。CVSSv2でNVDが定義したカテゴリ（この標準には含まれていませんでした）に類似した、なし（0）、低（0.1～3.9）、中（4.0～6.9）、高（7.0～8.9）、重大（9.0～10.0）^[15]のテキストによる重大度評価が定義されました。^[16]

バージョン2からの変更点

基本指標

ベースベクトルに、ユーザーインタラクション（UI）と権限要求（PR）という新しい指標が追加されました。これらの指標は、ユーザーインタラクションやユーザーまたは管理者権限を必要とする脆弱性を区別するのに役立ちます。以前は、これらの概念はCVSSv2のアクセスベクトル指標の一部でした。UIは「なし」または「必要」の値を取ります。ユーザーとしてログインする必要のない攻撃は、より深刻であるとみなされます。PRは「なし」、「低」、「高」の値を取ります。同様に、必要な権限が少ない攻撃は、より深刻であるとみなされます。

ベースベクトルには、新しいスコープ（S）指標が導入されました。これは、どの脆弱性が悪用され、システムまたはネットワークの他の部分への攻撃に利用される可能性があるかを明確にするために設計されました。これらの新しい指標により、ベースベクトルは評価対象の脆弱性の種類をより明確に表現できるようになります。

機密性、整合性、可用性（C、I、A）メトリクスが更新され、CVSSv2の「なし」「部分的」「完全」ではなく、「なし」「低」「高」のスコアで評価されるようになりました。これにより、脆弱性がCIAメトリクスに与える影響をより柔軟に判断できるようになります。

アクセス権限が別の指標に移動されたことを明確にするため、「アクセスの複雑性」は「攻撃の複雑性（AC）」に名称変更されました。この指標は、この脆弱性の悪用がどの程度再現可能であるかを示す指標です。攻撃者が完璧なタイミングやその他の状況（ユーザー操作は別の指標ですが、これ以外の状況）を必要とし、将来の攻撃では容易に再現できない場合、ACは「高」となります。

攻撃ベクトル(AV) には、実行するためにデバイスまたはシステムへの物理的なアクセスを必要とする脆弱性を説明するために、新しいメトリック値「物理 (P)」が追加されました。

時間的指標

時間的メトリックは CVSSv2 から基本的に変更されていません。

環境指標

CVSSv2の環境指標は完全に削除され、実質的には修正ベクトルと呼ばれる2つ目のベーススコアに置き換えられました。修正ベクトルは、組織または企業内の差異を世界全体と比較することを目的としています。特定の環境における機密性、整合性、可用性の重要性を捉える新しい指標が追加されました。

バージョン3に対する批判

2015年9月のブログ投稿で、CERTコーディネーションセンターは、モノのインターネットなどの新興技術システムの脆弱性のスコアリングに使用するCVSSv2とCVSSv3.0の限界について議論しました。^[17]

バージョン3.1

CVSSのマイナーアップデートが2019年6月17日にリリースされました。CVSSv3.1の目標は、新しい指標や指標値を導入することなく、既存のCVSSv3.0標準を明確化し、改善することで、スコアリングプロバイダーとスコアリング利用者の両方がスムーズに新しい標準を導入できるようにすることです。CVSS標準の改良においては、使いやすさが最優先事項でした。CVSSv3.1に施されるいくつかの変更は、CVSSv3.0で導入された概念の明確性を向上させ、それによって標準全体の使いやすさを向上させることを目的としています。

FIRSTは、業界の専門家からの意見を取り入れ、CVSSを継続的に強化・改良し、過去15年以上にわたり開発されてきた脆弱性、製品、プラットフォームへの適用性を高めてきました。CVSSの主な目的は、様々な環境における脆弱性の重大度を、決定論的かつ再現性のある方法でスコアリングし、CVSS利用者が自身の環境やリスク許容度に応じたリスク、修復、緩和策に関するより広範な意思決定マトリックスへの入力情報として活用できるようにすることです。

CVSSv3.1仕様の更新には、攻撃ベクトル、必要な権限、スコープ、セキュリティ要件といった既存の基本メトリクスの定義と説明の明確化が含まれています。また、CVSSを拡張するための新しい標準手法である「CVSS拡張フレームワーク」も定義されました。これにより、スコアリングプロバイダーは、公式の基本メトリクス、時間的メトリクス、環境メトリクスを維持しながら、追加のメトリクスとメトリクスグループを含めることができます。これらの追加メトリクスにより、プライバシー、安全性、自動車、ヘルスケアなどの業界セクターは、CVSSコア標準の範囲外にある要素をスコアリングできるようになります。さらに、CVSS用語集が拡張・改訂され、CVSSv3.1ドキュメント全体で使用されているすべての用語が網羅されました。

バージョン4.0

バージョン4.0は2023年11月に正式にリリースされ、^{[2] FIRST [18]}で入手可能です。いくつかの明確化の中で、最も注目すべき変更点は、攻撃の複雑性指標を補完し、脆弱性を悪用するためにターゲット側でどのような条件が必要かを評価する新しい基本指標「攻撃要件」です。さらに、影響指標は、脆弱なシステム自体への影響と、後続のシステムへの影響（以前のバージョンの範囲指標に代わる）に分割されました。

基本メトリックは次のようになります。

• 攻撃ベクトル (AV):どの (物理的な) 方法で脆弱性を悪用できますか? [N]ネットワーク、[A]隣接(直接接続に限定)、[I]対話(例: SSH またはキーボード経由)、[P]物理的(例: ハードウェアの操作または監視)。
• 攻撃の複雑さ (AC):攻撃者が回避しなければならないさらなる対抗手段はありますか? また、それを実行するのはどの程度難しいですか? [ L]低い、または[H]高い(例: データ実行防止)。
• 攻撃要件 (AT):攻撃者が影響を与えることができない攻撃に必要な条件はありますか? [N]なし、または[P]存在(例: 競合状態に勝つ必要がある、またはシステムが特定の状態にある)。
• 必要な権限 (PR):ターゲット システムで何らかの権限が必要ですか? [N] なし (認証なし)、[L] 低(通常のユーザー)、[H] 高(管理者アクセス)。
• ユーザーインタラクション (UI):攻撃を可能にするために、システムの (正当な) ユーザーが何かを行う必要がありますか? [N] なし、[P] 受動的(例: 悪意のある Web サイトに誤ってアクセスする)、[A] 能動的(例: 悪意のある Office マクロを実行する)。
• 脆弱なシステムの機密性の影響 (VC): [N] なし、[L] 低、または[H] 高。
• 脆弱なシステム整合性への影響 (VI): [N] なし、[L] 低、または[H] 高。
• 脆弱なシステム可用性への影響 (VA): [N] なし、[L] 低、または[H] 高。
• 後続のシステム機密性の影響 (SC): [N] なし、[L] 低、または[H] 高。
• 後続のシステム整合性影響 (SI): [N] なし、[L] 低、または[H] 高。
• 後続のシステム可用性への影響 (SA): [N] なし、[L] 低、または[H] 高。

これらの基本メトリックに加えて、エクスプロイトの公開可能性、環境固有のスレッド モデリング、システム回復などに関するオプションのメトリックもあります。

例

オンラインウェブショップでSQLインジェクションが発生したと仮定します。オンラインショップソフトウェアのデータベースユーザーは、データベースへの読み取りアクセス権のみを持っています。さらに、インジェクションは登録顧客のみが閲覧できるショップのビューに存在します。CVSS 4.0のベースベクトルは以下の通りです。

• AV:N脆弱性はウェブ経由で発生する可能性がある
• AC:Lでは、SQL インジェクションはスクリプト経由で確実に悪用される可能性があります (オンライン ショップに対策がない場合)。
• AT:N攻撃は特定のシステム条件に依存しないため
• PR:L攻撃者は通常のユーザーとして認証される必要があるが、管理者権限は必要ない
• 他のユーザーが関与していないため、UI:N
• VC:H攻撃者はデータベース内のすべてのテーブルを読み取ることができる
• VI:N攻撃者は書き込み権限を持たないため
• VA:L攻撃者がデータベースに対して長いクエリを実行し、一時的にデータベースの速度が低下したり、応答しなくなったりする可能性があるため
• SC:N（以降のシステムについては詳細な情報はありません）
• SI:N（以降のシステムについては詳細な情報はありません）
• SA:Lでは、注文管理や物流に関わる他のシステムも、応答しないデータベースの影響を受けることが予想されます。

この結果、ベクトルAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:L/SC:N/SI:N/SA:Lが生成される。

採択

CVSS のバージョンは、次のようなさまざまな組織や企業で、脆弱性の重大度を定量化する主な方法として採用されています。

• 国家脆弱性データベース（NVD）^[19]
• オープンソース脆弱性データベース（OSVDB）^[20]
• CERTコーディネーションセンター^[21]は、特にCVSSv2ベース、時間的、環境的メトリクスを活用している。

参照

• 共通脆弱性一覧（CWE）
• 共通脆弱性識別子（CVE）
• 共通攻撃パターンの列挙と分類(CAPEC)

参考文献

1. 「共通脆弱性評価システム：仕様書」FIRST.org . FIRST（インシデント対応およびセキュリティチームフォーラム）2019年. 2025年7月27日閲覧。
2. 「FIRSTがCommon Vulnerability Scoring System（CVSS v4.0）の最新版を公式に公開」FIRST. 2023年11月1日時点のオリジナルよりアーカイブ。
3. Spring, JM; Hatleback, E.; Manion, A.; Shick, D. (2018年12月). 「CVSSの改善に向けて」(PDF) .カーネギーメロン大学技術レポート.
4. Jacobs, Jay; Romanosky, Sasha; Suciu, Octavian; Edwards, Benjamin; Sarabi, Armin (2023). 「脆弱性の優先順位付けの強化：コミュニティ主導の洞察によるデータ主導のエクスプロイト予測」arXiv : 2302.14172 [cs.CR].
5. Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). 「共通脆弱性評価システムは信頼できるか？ベイズ分析」IEEE Transactions on Dependable and Secure Computing . 15 (6): 1002– 1015. Bibcode :2018ITDSC..15.1002J. doi :10.1109/TDSC.2016.2644614. ISSN  1545-5971. S2CID  53287880.
6. 「CVSS v1 アーカイブ」。First.org, Inc. 2015年11月15日閲覧。
7. 「国家インフラ諮問委員会 / 会議議題 / 2005年4月12日（火）午後1時30分～4時30分 / 国立記者クラブ / ワシントンD.C.」（PDF） .サイバーセキュリティ・インフラセキュリティ庁. 2005年4月12日. 2022年7月18日閲覧. MITREとCERT/CCは、それぞれ異なるが重要な価値をもたらします。これらの提案に基づき、ワーキンググループは、これらの組織がGlobal FIRSTがCVSSのために提供する傘の下で活動することを強く推奨します。
8. 「CVSS v2の歴史」First.org, Inc. 2015年11月15日閲覧。
9. 「CVSS v3開発のためのCVSS特別利益グループの発表」First.org, Inc. 2013年2月17日時点のオリジナルよりアーカイブ。 2013年3月2日閲覧。
10. 「共通脆弱性評価システム、V3開発アップデート」First.org, Inc. 2015年11月13日閲覧。
11. 「CVSS v2 完全ドキュメント」First.org, Inc. 2015年11月15日閲覧。
12. 「CVSS - 欠点、障害、および不具合」（PDF） . リスクベースセキュリティ. 2013年2月27日. 2022年3月11日時点のオリジナル（PDF）からアーカイブ。 2015年11月15日閲覧。
13. 「CVSSスコアリングシステム」Oracle. 2010年6月1日. 2015年11月15日閲覧。
14. 「CVSS v3.0仕様書」FIRST, Inc. 2015年11月15日閲覧。
15. 「共通脆弱性評価システムv3.0：仕様書（定性的重大度評価スケール）」First.org . 2016年1月10日閲覧。
16. 「NVD Common Vulnerability Scoring System Support v2」. National Vulnerability Database . 米国国立標準技術研究所. 2013年3月2日閲覧。
17. 「CVSSとモノのインターネット」CERTコーディネーションセンター. 2015年9月2日. 2015年11月15日閲覧。
18. 「CVSS v4.0 ユーザーガイド」。FIRST — インシデント対応およびセキュリティチームのフォーラム。2024年10月5日閲覧。
19. 「国家脆弱性データベースホーム」Nvd.nist.gov . 2013年4月16日閲覧。
20. 「オープンソース脆弱性データベース」OSVDB 。 2013年4月16日閲覧。
21. 「CVSSを用いた脆弱性の重大度」CERTコーディネーションセンター. 2012年4月12日. 2015年11月15日閲覧。

外部リンク

• インシデント対応およびセキュリティチームフォーラム（FIRST）CVSSサイト
• 国家脆弱性データベース (NVD) CVSS サイト
• 共通脆弱性評価システムv2計算機

Retrieved from "https://en.wikipedia.org/w/index.php?title=Common_Vulnerability_Scoring_System&oldid=1319463314"