脆弱性
CVSS(共通脆弱性評価システム)
別称: CVSS スコア
定義
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
CVSS は脆弱性を 3 つの指標群で評価します。基本評価(攻撃元区分、攻撃条件の複雑さ、必要権限、CIA への影響などの本質的特性)、現状/脅威評価(エクスプロイトの成熟度、対策状況)、環境評価(具体的な導入環境に応じた調整)です。多くの CVE 項目に掲載されるのは基本スコアで、数値とベクトル文字列で表現されます。現在は v3.1 が主流で、v4.0 では IoT 向け指標や補足的深刻度が洗練されました。スコアはビジネス文脈、資産の重要度、EPSS や CISA KEV のシグナルと組み合わせて解釈すべきで、高い CVSS が必ずしも高い実リスクを意味するとは限らず、低い CVSS でも特定環境では致命的になり得ます。
例
- CVE-2021-44228(Log4Shell):CVSS v3.1 基本値 10.0(緊急)。
- CVE-2014-0160(Heartbleed):CVSS v2 基本値 5.0(中)。
関連用語
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
EPSS(エクスプロイト予測スコアリングシステム)
FIRST が維持するデータ駆動型モデルで、ある CVE が今後 30 日以内に実環境で悪用される確率を推定する。
既知の悪用された脆弱性(KEV)
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。