名科辞典―これは何?情報は?にこたえるコンテンツ

トップ CVSSとは

CVSSとは―CVSSスコアはメジャーな指標!脆弱性のスコアリング手法です。

NIACが提案したITシステムの脆弱性の深刻度、スコアリング手法。世界の多くのシステムが採用!CVSSスコアは脆弱性評価のメジャーな指標です。

1. CVSSとは

CVSSとは、IT製品関連の脆弱性の特徴とインパクトを採点するための仕組みです。

脆弱性とは

脆弱性とは、もろくて弱い性質や性格のこと。

情報セキュリティでの脆弱性の意味は、設備や技術、管理・制度などの情報に関連したリスクの要因となる弱点や欠陥を意味します。

詳細

CVSSは脆弱性評価システム

CVSSは、Common Vulnerability Scoring Systemの略です。 つまり一言で言うと共通脆弱性評価システムです。

脆弱性評価の共通尺度

ベンダーが独自の基準で脆弱性の危険度を示したりすると別のベンダーの評価と比較できない問題が生じます。

ベンダー依存の評価ではなく、脆弱性をみんなが共通の尺度で伝達しあえるようにする枠組みを提供しています。

CVSSスコア

CVSSにより算出した脆弱性評価用の値をCVSSスコアと言います。

CVSSスコアを使用することにより、脆弱性の特徴やインパクトの評価を共通の尺度で認識して比較できるようになります。

2. 3つの基準とCVSS値(スコア)

算出する3つのCVSS値(スコア)

CVSSでは、次の3つの脆弱性評価用の値(スコア)を算出します。

  • CVSS①基本値(基準スコア)
  • CVSS②現状値(現状スコア)
  • CVSS③環境値(環境スコア)

①基本値(基準スコア)

脆弱性そのものの特性を評価する基本評価基準を使用します。

基本評価基準では次の3つへの影響を評価してCVSS基本値(基準スコア)を算出します。

  • 機密性(Confidentiality Impact)
  • 完全性(Integrity Impact)
  • 可用性(Availability Impact)

②現状値(現状スコア)

脆弱性の現在の深刻度を評価する現状評価基準を使用します。

攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値を算出します。

③環境値(環境スコア)

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準んを使用します。

攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS環境値を算出します。

更新履歴

更新履歴になります。

  • 2016.10.04 脆弱性の意味について追記しました。
  • 2015.12.07 ページをUPしました。

戻る