CVSSとは―セキュリティ用語。基本値（ベーススコア）などの解説。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ セキュリティ技術評価 セキュリティ評価基準 CVSS

CVSS（ITのセキュリティ用語）は脆弱性の特徴とインパクトを採点するための共通脆弱性評価システムです。基本値（ベーススコア）などの解説をまとめています。

▲記事トップへ

目次

この記事の目次です。

1. CVSSとは
2. CVSSの特徴
3. CVSSスコア
4. CVSS v3
5. 基本値（基準スコア、ベーススコア）など算出する3つの値
6. CVSS深刻度評価結果

CVSSに関連したIPA情報処理試験の過去問題
もっと知識を広げるための参考
更新履歴

1. CVSSとは

CVSSとは、Common Vulnerability Scoring Systemの略で共通脆弱性評価システムと訳されるセキュリティ用語です。 IT製品関連の脆弱性の特徴とインパクトを採点するための仕組み、ベンダー依存の評価ではなく、脆弱性をみんなが共通の尺度で伝達しあえるようにする枠組みを提供しています。

2. CVSSの特徴

CVSSの特徴は、情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、 特定ベンダに依存しない評価方法を提供する点です。

ベンダーが独自の基準で脆弱性の危険度を示したりすると別のベンダーの評価と比較できない問題が生じます。 ベンダー依存の評価ではなく、脆弱性をみんなが共通の尺度で伝達しあえるようにする枠組みを提供しています。

3. CVSSスコア

CVSSにより算出した脆弱性評価用の値をCVSSスコアといいます。 CVSSスコアを使用することにより、脆弱性の特徴やインパクトの評価を共通の尺度で認識して比較できるようになります。

4. CVSS v3

CVSS v3の評価基準には、基本評価基準、現状評価基準、環境評価基準の三つがあります。 基本評価準では、機密性への影響、どこから攻撃が可能かといった攻撃元区分、 攻撃する際に必要な特権レベルなど、脆弱性そのものの特性を評価します。

攻撃元区分（AV：Attack Vector）

攻撃元区分は、脆弱性のあるコンポーネントをどこから攻撃可能であるかを評価します。

v3	v2	内容
ネットワーク(N)	ネットワーク(N)	対象コンポーネントをネットワーク経由でリモートから攻撃可能である。 例えば、インターネットからの攻撃など
隣接(A)	隣接(A)	対象コンポーネントを隣接ネットワークから攻撃する必要がある。 例えば、ローカルIPサブネット、ブルートゥース、IEEE 802.11など
ローカル(L)	ローカル(L)	対象コンポーネントをローカル環境から攻撃する必要がある。 例えば、ローカルアクセス権限での攻撃が必要、ワープロのアプリケーションに不正なファイルを読み込ませる攻撃が必要など
物理(P)		対象コンポーネントを物理アクセス環境から攻撃する必要がある。 例えば、IEEE 1394、USB経由で攻撃が必要など

参考）IPAの「共通脆弱性評価システムCVSS v3概説」 https://www.ipa.go.jp/security/vuln/CVSSv3.html

5. 基本値（基準スコア、ベーススコア）など算出する3つの値

CVSSでは、次の3つの脆弱性評価用の値（スコア）を算出します。

• ①基本値（Base Score：基準スコア、ベーススコア）
• ②現状値（Temporal Score：現状スコア、テンポラルスコア）
• ③環境値（Environmental Score：環境スコア、エンバイロメントスコア）

①基本値（Base Score：基準スコア、ベーススコア）

脆弱性そのものの特性を評価する基本評価基準を使用します。

基本評価基準では次の3つへの影響を評価してCVSS基本値（基準スコア）を算出します。

• 機密性（Confidentiality Impact）
• 完全性（Integrity Impact）
• 可用性（Availability Impact）

②現状値（Temporal Score：現状スコア、テンポラルスコア）

脆弱性の現在の深刻度を評価する現状評価基準を使用します。

攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値を算出します。

③環境値（Environmental Score：環境スコア、エンバイロメントスコア）

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準んを使用します。

攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS環境値を算出します。

6. CVSS深刻度評価結果

深刻度横に表示されるIPA値やNVD値は、どの組織が評価した深刻度かを表します。 IPA値、NVD値それぞれの組織は以下のとおりです。

• IPA値

  独立行政法人 情報処理推進機構(IPA)によるCVSS深刻度評価結果（CVSS基本値）であることを表します。

• NVD値

  NISTが運営する脆弱性情報データベースNVDに公開されている評価結果（CVSS基本値）であることを表します。

CVSSに関連したIPA情報処理試験の過去問題

以下ではCVSSに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問28 共通脆弱性評価システム（CVSS）の特徴―情報セキュリティマネジメント試験 午前
• 平成30年春 問1 CVSS v3の評価基準―情報セキュリティスペシャリスト試験（SC）午前Ⅱ

もっと知識を広げるための参考

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2021/11/16 攻撃元区分について追記しました。
• 2018/12/31 記事をUPしました。

戻る