共通脆弱性評価システム (キョウツウゼンジャセイトウカシステム) とは | 意味や読み方など丁寧でわかりやすい用語解説
共通脆弱性評価システム (キョウツウゼンジャセイトウカシステム) の読み方
日本語表記
共通脆弱性評価システム (キョウツウゼンジャクヒョウカシステム)
英語表記
Common Vulnerability Scoring System (コモン・ボルナラビリティ・スコアリング・システム)
共通脆弱性評価システム (キョウツウゼンジャセイトウカシステム) の意味や用語解説
共通脆弱性評価システム(Common Vulnerability Scoring System、以下CVSS)とは、情報システムのソフトウェアや製品に含まれる脆弱性の深刻度を評価し、数値化するための世界共通の基準である。日々発見される無数の脆弱性に対して、客観的で統一された尺度を提供することを目的としている。これにより、システム管理者やセキュリティ担当者は、どの脆弱性から優先的に対処すべきかを判断しやすくなる。CVSSは特定のベンダーや組織に依存しないオープンな標準であり、米国の非営利団体であるFIRST(Forum of Incident Response and Security Teams)によって管理されている。 CVSSによる評価は、三つの異なる基準群を用いて行われる。それは「基本評価基準」「現状評価基準」「環境評価基準」である。まず、基本評価基準(Base Metrics)は、脆弱性そのものが持つ固有の特性を評価するもので、時間や環境の変化によって変動しない。この評価には、攻撃の難易度や、攻撃が成功した場合にどのような影響が発生するかが含まれる。具体的には、「攻撃元区分(AV)」は、脆弱性を悪用するために攻撃者がどこからアクセスする必要があるかを示し、ネットワーク経由で攻撃可能な場合は深刻度が高くなる。「攻撃条件の複雑さ(AC)」は、攻撃を成功させるために必要な条件の複雑さを評価する。条件が少ないほど攻撃が容易であるため、深刻度は高まる。「必要な特権レベル(PR)」は、攻撃者が事前にどの程度の権限を保有している必要があるかを示し、権限が不要な場合ほど危険性が高いと判断される。「ユーザ関与レベル(UI)」は、攻撃の成立にユーザ自身による操作が必要かどうかを評価する。ユーザの操作なしに攻撃が可能な場合は、より深刻である。「スコープ(S)」は、脆弱性の影響が、脆弱性のあるコンポーネントの範囲に留まるか、それともシステムの他の範囲にまで及ぶかを示す。影響範囲が広がる場合は深刻度が高くなる。そして、「機密性への影響(C)」「完全性への影響(I)」「可用性への影響(A)」の三つは、それぞれ情報漏えい、情報改ざん、業務停止といった被害の度合いを評価する。これらの項目を数式に当てはめることで、0.0から10.0までの基本スコアが算出され、その値に応じて深刻度が「緊急(Critical)」「重要(High)」「警告(Medium)」「注意(Low)」「なし(None)」のいずれかに分類される。 次に、現状評価基準(Temporal Metrics)は、時間の経過と共に変化する要素を考慮して基本スコアを調整する。例えば、脆弱性を悪用する攻撃コードが既に出回っているかを示す「攻撃コードの可用性(E)」、ベンダーから修正パッチや回避策が提供されているかを示す「利用可能な対策のレベル(RL)」、脆弱性情報の信頼性を示す「脆弱性情報の信頼性(RC)」といった項目がある。攻撃コードが広く出回っている状況では脅威が高まる一方、公式なパッチが提供されていればリスクは低減されるため、これらの要素によって評価は変動する。 最後に、環境評価基準(Environmental Metrics)は、その脆弱性が存在するシステムが、個々の組織やユーザの環境においてどのような影響を持つかを評価する。基本評価基準で評価された機密性・完全性・可用性への影響が、自社の環境ではどれほど重要であるかという「要求度(CR, IR, AR)」を考慮して、最終的なスコアを再計算する。例えば、一般的には影響が小さいとされる脆弱性でも、それが組織の最重要機密を扱うサーバーに存在する場合、その組織にとっては極めて深刻な脅威となり得る。このように、環境評価基準を用いることで、汎用的な深刻度評価を、より個別具体的な状況に即した評価へと修正し、自組織における真の優先度を決定することが可能になる。システムエンジニアは、脆弱性情報データベースなどで公開されている基本スコアを参考にしつつも、この現状評価基準や環境評価基準を考慮して、自らが管理するシステムへの影響を正確に判断し、適切なセキュリティ対策を計画・実行する能力が求められる。CVSSを正しく理解し活用することは、効果的かつ効率的な脆弱性管理を実現するための第一歩である。