共通脆弱性評価システム

共通脆弱性評価システム（CVSS）について

共通脆弱性評価システム（CVSS）は、コンピュータシステムにおけるセキュリティ脆弱性の深刻度を評価するために設計されたオープンなフレームワークです。このシステムは、攻撃がどれだけ容易か、どのような影響を及ぼすかを数値として表し、スコアとして0から10の範囲で示します。10が最も深刻な状態を指します。CVSSは基本評価基準を主に使用されることが多いですが、加えて現状評価基準や環境評価基準も存在し、これによって脆弱性評価がより精緻になります。

CVSSのバージョン

現在のバージョンであるCVSSv4.0は、2023年11月にリリースされました。CVSSは本来、パッチ管理の優先順位付けを目的としたものではありませんが、実際にはそういった用途にも広く利用されています。CVSSをより効果的に活用するには、悪用予測評価システム（EPSS）などの予測モデルと組み合わせることが推奨されています。

CVSSの歴史

CVSSは2005年に初版（CVSSv1）が立ち上げられ、その後数回のバージョンアップを経て、定期的に改良が行われています。CVSSv1の開発は、国家インフラストラクチャ諮問委員会（NIAC）の調査に基づきました。初期のCVSSに対するフィードバックを受けて、CVSSv2が2007年に登場し、さらには2015年にはCVSSv3.0がリリースされました。各バージョンでは、評価基準や計算方法が見直されています。

評価基準

CVSSでは評価基準は主に以下の3群に分けられます。

1. 基本評価基準（Base metrics）
脆弱性の内在する性質に基づく。主に攻撃元区分、アクセス元の複雑さ、攻撃前の認証要否などの要素が含まれます。

2. 現状評価基準（Temporal metrics）
脆弱性の状況に応じた変化を反映します。悪用の可能性や緩和策の入手状況などが評価されます。

3. 環境評価基準（Environmental metrics）
特定の実装や環境に依存する脆弱性を評価し、環境に応じた重要性が考慮されます。

評価基準はスコアの算出に重要な役割を果たしており、これを元にCVSSベクターストリングが生成されます。

計算方法

CVSSスコアを計算する際、基本評価に基づく悪用可能性と影響度のサブスコアを活用します。基本スコアは以下のように計算されます：

```
Exploitability = 20 × AccessVector × AccessComplexity × Authentication
Impact = 10.41 × (1 - (1 - Confidentiality) × (1 - Integrity) × (1 - Availability))
BaseScore = roundTo1Decimal((0.6 × Impact + 0.4 × Exploitability - 1.5) × f(Impact))
```

この計算は、システムが抱えるリスクを数字で定量化し、脆弱性への理解を深めるための手段でもあります。

応用と実例

実際の例を挙げると、あるWebサーバー上での脆弱性が悪用されるケースで、リモートユーザーがシステムを制御できるとするなら、そのスコアはどうなるかを考えます。この場合、スコアが高くなる要因が絡むため、具体的な評価値が求められます。また、環境によっては、脆弱性が与える影響も異なるため、環境評価基準を含めたスコア計算が必要です。

CVSSは、脆弱性の評価を通じて、情報の安全性を形作る重要な要素となっており、さまざまな組織や企業で広く採用されています。これにより、リスクの評価と管理が進むことで、安全な技術環境の確立に寄与しています。

もう一度検索