情報処理のWeb教科書―IPA情報処理試験対策のお供に!

CVSSとは―セキュリティ用語。基本値(ベーススコア)などの解説。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ セキュリティ技術評価 セキュリティ評価基準 CVSS

CVSS(ITのセキュリティ用語)は脆弱性の特徴とインパクトを採点するための共通脆弱性評価システムです。基本値(ベーススコア)などの解説をまとめています。

▲記事トップへ

目次

この記事の目次です。

1. CVSSとは
2. CVSSの特徴
3. CVSSスコア
4. CVSS v3
5. 基本値(基準スコア、ベーススコア)など算出する3つの値
6. CVSS深刻度評価結果

CVSSに関連したIPA情報処理試験の過去問題
もっと知識を広げるための参考
更新履歴

1. CVSSとは

CVSSとは、Common Vulnerability Scoring Systemの略で共通脆弱性評価システムと訳されるセキュリティ用語です。 IT製品関連の脆弱性の特徴とインパクトを採点するための仕組み、ベンダー依存の評価ではなく、脆弱性をみんなが共通の尺度で伝達しあえるようにする枠組みを提供しています。

2. CVSSの特徴

CVSSの特徴は、情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、 特定ベンダに依存しない評価方法を提供する点です。

ベンダーが独自の基準で脆弱性の危険度を示したりすると別のベンダーの評価と比較できない問題が生じます。 ベンダー依存の評価ではなく、脆弱性をみんなが共通の尺度で伝達しあえるようにする枠組みを提供しています。

3. CVSSスコア

CVSSにより算出した脆弱性評価用の値をCVSSスコアといいます。 CVSSスコアを使用することにより、脆弱性の特徴やインパクトの評価を共通の尺度で認識して比較できるようになります。

4. CVSS v3

CVSS v3の評価基準には、基本評価基準、現状評価基準、環境評価基準の三つがあります。 基本評価準では、機密性への影響、どこから攻撃が可能かといった攻撃元区分、 攻撃する際に必要な特権レベルなど、脆弱性そのものの特性を評価します。

攻撃元区分(AV:Attack Vector)

攻撃元区分は、脆弱性のあるコンポーネントをどこから攻撃可能であるかを評価します。

v3v2内容
ネットワーク(N)ネットワーク(N) 対象コンポーネントをネットワーク経由でリモートから攻撃可能である。
例えば、インターネットからの攻撃など
隣接(A)隣接(A) 対象コンポーネントを隣接ネットワークから攻撃する必要がある。
例えば、ローカルIPサブネット、ブルートゥース、IEEE 802.11など
ローカル(L)ローカル(L) 対象コンポーネントをローカル環境から攻撃する必要がある。
例えば、ローカルアクセス権限での攻撃が必要、ワープロのアプリケーションに不正なファイルを読み込ませる攻撃が必要など
物理(P) 対象コンポーネントを物理アクセス環境から攻撃する必要がある。
例えば、IEEE 1394、USB経由で攻撃が必要など

参考)IPAの「共通脆弱性評価システムCVSS v3概説」 https://www.ipa.go.jp/security/vuln/CVSSv3.html

5. 基本値(基準スコア、ベーススコア)など算出する3つの値

CVSSでは、次の3つの脆弱性評価用の値(スコア)を算出します。

①基本値(Base Score:基準スコア、ベーススコア)

脆弱性そのものの特性を評価する基本評価基準を使用します。

基本評価基準では次の3つへの影響を評価してCVSS基本値(基準スコア)を算出します。

②現状値(Temporal Score:現状スコア、テンポラルスコア)

脆弱性の現在の深刻度を評価する現状評価基準を使用します。

攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値を算出します。

③環境値(Environmental Score:環境スコア、エンバイロメントスコア)

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準んを使用します。

攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS環境値を算出します。

6. CVSS深刻度評価結果

深刻度横に表示されるIPA値やNVD値は、どの組織が評価した深刻度かを表します。 IPA値、NVD値それぞれの組織は以下のとおりです。

CVSSに関連したIPA情報処理試験の過去問題

以下ではCVSSに関連したIPA情報処理試験の過去問とその解説をまとめています。

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

各試験の問題と解説

ランダム出題・採点アプリ

プログラミング

スポンサーリンク