共通脆弱性評価システム (CVSS) (Common Vulnerability Scoring System (CVSS))

共通脆弱性評価システム (CVSS) は、コンピューター・システム・セキュリティーの重大度とリスクを評価するために使用されます。

IBM® QRadar®7.5.0では、 QRadar Vulnerability Manager は Common Vulnerability Scoring System (CVSS) 2.0、 3.0、および 3.1をサポートします。 脆弱性データの中で使用可能な最高のバージョンのスコアとメトリック値が返されます。

CVSS は、以下のメトリック・グループで構成されるオープン・フレームワークです。
  • ベース
  • 一時的
  • 環境

ベース

基本スコアの重大度の範囲は 0 から 10 で、脆弱性の固有の特性を表します。 ベース・スコアは、最終的な CVSS スコアで最大のベアリングを持ち、さらに以下のサブコアに分割することができます。
  • インパクト

    影響サブスコアは、機密性の影響、保全性の影響、および悪用された脆弱性の可用性の影響に関するメトリックを表します。

  • 悪用可能性

    CVSS v2では、悪用可能性サブスコアは、アクセス・ベクトル、アクセスの複雑性、および認証のメトリックを表します。 サブスコアは、脆弱性のアクセス方法、攻撃の複雑さ、および脆弱性を悪用するために攻撃者が認証を受ける必要がある回数を測定します。

    CVSS v3では、悪用可能性サブスコアは、攻撃ベクトル、攻撃の複雑性、必要な特権、ユーザー対話、およびスコープのメトリックを表します。 サブスコアは、脆弱性へのアクセス方法、攻撃の複雑さ、必要な特権、攻撃者と別のユーザーの間で必要な対話、および脆弱性のあるコンポーネントを超えたリソースへの影響を測定します。

一時的

一時的スコアは、脆弱性による脅威の特性のうち、時間の経過とともに変化するものを表します。以下のメトリックで構成されます。
  • 悪用可能性 (CVSS v2) またはエクスプロイト・コード成熟度 (CVSS v3)

    時間の経過とともに変化する脆弱性のエクスプロイトに使用できる手法やコードの使用可能性。

  • 修復レベル

    脆弱性に対して行うことができる修復のレベル。

  • レポートの信頼性

    脆弱性の有無の確実性、およびその技術詳細の信頼性のレベル。

環境

環境スコアは、脆弱性の特性のうち、ユーザーの環境によって影響されるものを表します。 重要なアセットの脆弱性をすぐに特定できるように、以下の環境メトリックを構成して、それらのアセットに高い環境メトリックを適用してください。 アセットに関連する損失が組織にとって重大な結果につながるような最重要アセットには、最も高い環境スコアを適用してください。

  • 二次的被害の可能性 (CDP) (CVSS v2 のみ)

    このアセットの損傷または盗用によって、生命または物理的資産が失われる可能性、もしくは生産性または利益の経済的損失が発生する可能性。

  • ターゲット配布 (TD) (CVSS v2 のみ)

    ユーザーの環境における脆弱なシステムの比率。

  • 機密性要件 (CR)

    このアセット上の脆弱性がエクスプロイトされた場合の機密性の消失に対する影響のレベル。

  • 整合性要件 (IR)

    このメトリックは、このアセット上の脆弱性がエクスプロイトされた場合の整合性の消失に対する影響のレベルを示します。

  • 可用性要件 (AR)

    このアセット上の脆弱性がエクスプロイトされた場合のアセットの可用性に対する影響のレベル。