Entry № 290
CVSS(共通脆弱性評価システム)
CVSS(共通脆弱性評価システム) とは何ですか?
CVSS(共通脆弱性評価システム)FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
CVSS は脆弱性を 3 つの指標群で評価します。基本評価(攻撃元区分、攻撃条件の複雑さ、必要権限、CIA への影響などの本質的特性)、現状/脅威評価(エクスプロイトの成熟度、対策状況)、環境評価(具体的な導入環境に応じた調整)です。多くの CVE 項目に掲載されるのは基本スコアで、数値とベクトル文字列で表現されます。現在は v3.1 が主流で、v4.0 では IoT 向け指標や補足的深刻度が洗練されました。スコアはビジネス文脈、資産の重要度、EPSS や CISA KEV のシグナルと組み合わせて解釈すべきで、高い CVSS が必ずしも高い実リスクを意味するとは限らず、低い CVSS でも特定環境では致命的になり得ます。
● 例
- 01
CVE-2021-44228(Log4Shell):CVSS v3.1 基本値 10.0(緊急)。
- 02
CVE-2014-0160(Heartbleed):CVSS v2 基本値 5.0(中)。
● よくある質問
CVSS(共通脆弱性評価システム) とは何ですか?
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。 サイバーセキュリティの 脆弱性 カテゴリに属します。
CVSS(共通脆弱性評価システム) とはどういう意味ですか?
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
CVSS(共通脆弱性評価システム) からどのように防御しますか?
CVSS(共通脆弱性評価システム) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CVSS(共通脆弱性評価システム) の別名は何ですか?
一般的な別名: CVSS スコア。