共通脆弱性評価システム（CVSS）とは？

共通脆弱性評価システム（CVSS）は、ソフトウェアの脆弱性を分類、評価するために広く使用されているフレームワークです。

このオープン・フレームワークを通じて、組織は脆弱性の重大度を表す数値スコアであるCVSSスコアを計算できます。CVSSスコアに寄与した脆弱性の特性は、CVSSベクトル文字列と呼ばれるテキストのチェーンで表されます。

2005年以降、CVSSにはいくつかのバージョンが存在します。最新バージョンのCVSSv4.0は2022年にリリースされました。このフレームワークは、非営利団体FIRST.org社（Forum of Incident Response and Security Teamsとも呼ばれる）によって管理されています。

CVSSは、組織のITインフラストラクチャーとソフトウェアにおけるセキュリティ上の脆弱性を継続的に検出し、優先順位を付けて解決する、脆弱性管理のための重要なツールです。ファイアウォールの構成ミスやバグに対するパッチ未適用などの、エラーやサイバーセキュリティーの弱点を特定して解決することは、ITインフラストラクチャーとソフトウェアが完全に機能できるようにするために必要不可欠です。

解決手段には次のようなものがあります。

• 修復 ：脆弱性を悪用できないようにします。
  
• 緩和：脆弱性の悪用をより困難にすると同時に、脆弱性の悪用による潜在的な影響を軽減します。
  
• 容認：脆弱性が悪用される可能性が低い、あるいは被害が少ない場合に、脆弱性をそのままにしておくことです。

今日におけるITシステムの複雑さと大量の脆弱性やサイバー脅威を考えると、優先的に対処して解決すべき問題を判断することは、IT管理者にとって困難な作業かもしれません。

そこで、CVSSが威力を発揮するのです。CVSSは、IT管理者に脆弱性の深刻度を評価するための体系的なアプローチを提供し、影響を受けるシステムの脆弱性を解決する優先順位付けや計画立案の判断材料となります。¹

CVSSスコアはリスク評価に組み込むことができますが、FIRST.org社によると、CVSS評価のみを包括的なリスク評価の代わりに使用すべきではありません。CVSSのユーザー・ガイドでは、包括的な評価にはCVSSの範囲外の要素も含めるようにアドバイスしています。²

CVSSは、2003年にNational Infrastructure Advisory Council（NIAC）の委託による研究プロジェクトとして始まりました。当時、ソフトウェアの脆弱性評価を取り巻く状況はばらばらでした。コンピューター・セキュリティー・ベンダーと非営利グループは異なる手順とメトリクスを使用しており、その結果、独自のスコアリング・システムが多数存在し、それらには互換性がないことが多かったのです。³この不一致により、さまざまな組織のセキュリティー・チームが協力することが困難になっていました。⁴

NIACの研究者は、脆弱性評価を標準化するためにCVSSを作成しました。ここで、さまざまなITシステムや環境に合わせてカスタマイズして採用できるオープン・システムとなるように設計しました。⁵

CVSS v4.0は、4つの評価基準グループで構成されています。⁶

• Base
• サイバーセキュリティに関して賢く
• 環境
• 補足

これらの評価基準グループは、ソフトウェアの脆弱性のさまざまな特性と質を表しています。CVSS v4.0フレームワークでは、このグループを次のように説明しています。

基本評価基準は、ユーザー環境全体および時間の経過に関わらず一定である脆弱性の本質的な特性を表します。基本評価基準は、攻撃可能性評価基準と影響度評価基準の2つのセットで構成されています。

攻撃の難易度基準は、脆弱性がどの程度簡単に悪用されるかを示します。攻撃の難易度基準の例としては、以下のようなものがあります。

• 攻撃者が脆弱性を攻撃するために必要なユーザー・インタラクションの度合い
• 攻撃者がシステムにアクセスできるのはローカルか、リモートか（「攻撃経路」）
• 攻撃が成功するために必要な特権のレベル（「必要な特権」）
• 攻撃を実行するために特定の条件や高度な知識が必要かどうか（「攻撃の複雑さ」）

影響基準は、エクスプロイトが成功した場合の結果、脆弱なシステム（ソフトウェア・アプリケーションやオペレーティング・システムなど）に対する影響、および他のシステムに対する下流の影響を表します。影響基準の例には、次のようなものがあります。

• 制限された情報へのアクセスなど、機密性の喪失に対する措置
• 攻撃者がシステム・データを変更するなど、完全性の喪失
• 可用性への影響（攻撃がシステムの性能を低下させたり、正規ユーザーのシステム・アクセスを拒否したりするかどうかを指す）

脅威評価基準は、時間の経過とともに変化する脆弱性の特性を表します。このカテゴリーでは、エクスプロイトの成熟度が主な指標となり、特定の脆弱性が攻撃される可能性を測定します。

エクスプロイト・コードの入手可能性、エクスプロイト技術の状況、および実際の攻撃事例によって、エクスプロイト成熟度基準に割り当てられる基準値が決定されます。この値としては、次のようなものがあります。

• 「攻撃可能」（この脆弱性に対して攻撃が報告されていることを示す）
• 「実証可能」（エクスプロイトは入手可能だが、既知の攻撃はなかったことを示す）
• 「未報告」（既知の概念実証のエクスプロイト・コードや、脆弱性のエクスプロイトの試みがないことを示す）

エクスプロイトの成熟度を判断するための信頼できる脅威インテリジェンスがない場合は、デフォルト値（「未定義」）が使用されます。

環境評価基準グループは、ユーザーの環境に固有の脆弱性の特性を表します。基本評価基準グループと同様に、環境グループには機密性、整合性、可用性が含まれており、各評価基準には組織内の脆弱な資産の重要性を反映する値が割り当てられています。これは、基本評価基準の本質的な焦点とは対照的です。

さらに、アナリストは、環境評価基準グループを通じて、特定の環境において別の値が保証されることが示唆されている場合に、さまざまな元の基本評価基準を変更された基本評価基準で上書きできます。

アプリケーションのデフォルト設定ではアクセスに認証が必要ですが、アプリケーションのホーム環境では管理者の認証が必要ないというシナリオを考えてみましょう。この場合、アプリケーションの「必要な特権」に関する脆弱性の元の基本値は「高」です。これは、アプリケーションにアクセスするには高レベルの特権が必要であることを意味します。ただし、攻撃者が管理者機能を乗っ取ることで理論的には脆弱性をエクスプロイトできるため、変更された「必要な特権」の値は「なし」になります。

補助評価基準は、技術的な重大度を以外の問題に焦点を当て、脆弱性の本質的な特性に関する追加情報を提供します。補助評価基準の例としては、以下のようなものがあります。

• 「自動化可能性」（攻撃者が複数の標的に到達するために攻撃の手順を自動化できるかどうか）
• 「安全性」（脆弱性がエクスポロイとされた結果、人間が負傷するかどうか）
• 「回復」（攻撃を受けた後、システムがどれだけ回復するか）

CVSSのバージョンによって、含まれる評価基準は異なります。たとえば、補助評価基準グループは、CVSSに比較的新しく追加されたものです。CVSSの以前のバージョン（CVSS v1、CVSS v2、CVSS v3、およびCVSS v3.1）にはこの一連の評価基準は含まれていませんでした。

ただし、CVSSの旧バージョンには、「レポートの信頼性」や「修復」などの他の評価基準が含まれており、これは時間的評価基準と呼ばれる評価基準グループに属していました。CVSS v4.0の脅威評価基準カテゴリーが、旧バージョンの時間的評価基準に取って代わりました。

CVSSv4.0では、基本評価基準の粒度がより細かくなり、脆弱性をより包括的に理解できるようになるとも考えられています。

さまざまなタイプのCVSSスコアは、脆弱性の評価で考慮されるさまざまな評価基準グループを反映しています。

• CVSS-BはCVSS基本スコアを指します
• CVSS-BEは基本スコアと環境スコアを指します
• CVSS-BTは、CVSS基本スコアと脅威スコアを指します
• CVSS-BTEは、CVSS基本スコア、脅威スコア、環境スコアを指します⁷

すべてのスコアは0～10の範囲で、0が最低、10が最高レベルの重要度スコアとなります。補足評価基準はCVSSスコアには影響しませんが、CVSS v4.0ベクトル文字列に含まれる場合があります。

エンティティーによって、優先されるグループやスコアも異なる場合があります。たとえば、ソフトウェア・ベンダーは自社製品の基本スコアを指定することがよくありますが、消費者組織は環境における脆弱性の潜在的な影響を示すために脅威評価基準と環境評価基準に頼る場合があります。⁸

CVSSベクトル文字列は、脆弱性に関するCVSS評価基準グループを、機械で読み取り可能なテキストで表すものです。ベクトル文字列内のさまざまな略語は特定の評価基準値に対応し、その脆弱性のCVSSスコアの背景を把握するために役立ちます。⁹

例えば、「攻撃ベクトル」の値が「L」（「ローカル」の略）である脆弱性の場合、ベクトル文字列には「AV:L」が含まれます。その脆弱性を悪用するために攻撃者が高レベルの権限を必要とする場合、「必要な権限」の値は「H」（「高」の略）となり、そのベクトル文字列には「PR:H」が含まれます。

ベクトル文字列では、各値はスラッシュ（「/」）で区切られ、CVSSフレームワークで指定された順序でリストされている必要があります。基本評価基準、脅威評価基準、環境評価基準グループのさまざまな値を組み合わせて、1,500万個の異なるベクトル文字列を作成できます。¹⁰

CVSSは、モデル・ポイズニング、サービス拒否、情報漏洩など、AIアプリケーションで頻繁に発見される特定の種類のサイバーセキュリティーの脆弱性を評価するのに役立ちます。しかし、FIRST.org社によると、CVSSは主にバイアス、倫理、または法的懸念に関連するAI関連の脆弱性にはあまり役立たない可能性があります。このような脆弱性は、推論、モデル反転、プロンプト・インジェクションに関連しています。¹¹

CVSSは脆弱性を評価するためのフレームワークですが、 CVE（Common Vulnerabilities and Exposures の略）はサイバーセキュリティの脆弱性に関する公開の用語集です。CVEプログラムに含まれる脆弱性には、CVE IDと呼ばれる一意の識別子が割り当てられます。このプログラムは非営利団体のMITRE企業によって管理され、米国国土安全保障省が後援しています。

CVEプログラムによってカタログ化された脆弱性の重大度は、CVSSフレームワークを使用して評価できます。しかし、CVEが公開した脆弱性に関しては、CVE組織は独自の計算をせず、代わりに国立脆弱性データベース（NVD）によって提供されるCVSSスコアに依る場合があります。NVDは、米国国立標準技術研究所（NIST）による脆弱性管理データの標準リポジトリです。NVDは、CVEによって識別された脆弱性と、CVSS基本スコアやベクトル文字列などの補足情報を組み合わせたものを検索可能なオンラインデータベースをホストしています。

組織はオンライン計算機を使用して、古いバージョンのCVSSに基づくCVSSスコアなど、いくつかの種類のCVSSスコアを決定できます。CVSS計算ツールは、CVSSおよびNVDのWebサイトで入手できます。CVSSドキュメントには、組織が自動化を使用して脅威をスキャンし、評価の脅威と環境の評価基準部分に情報を提供するという推奨事項が含まれています。¹²

組織は、CVSS評価を組み込んだ脆弱性管理ツールやプラットフォームを活用することもできます。主要な脆弱性評価ソフトウェア・ソリューションは、コンプライアンス・ベンチマーク、ベンダーのセキュリティー・ガイド、業界調査など、複数の重要な要素の中でCVSSスコアを参照します。このようなソリューションには、組織のインシデント対応やプライバシー管理の改善に役立つ、自動化されたリアルタイムのデータ検出などのAIを活用した機能も含まれる場合があります。