CVSS (Common Vulnerability Scoring System) は、コンピュータ システムのセキュリティ脆弱性の重大度を評価するための標準化されたオープン フレームワークです。これにより、IT 専門家や組織は、一貫した情報に基づいた方法でセキュリティ リスクへの対応に優先順位を付けることができます。 CVSS は、脆弱性の主な特徴を捉え、基本的、時間的、環境的メトリクスを考慮して、その重大度を反映する数値スコアを生成する方法を提供します。
CVSSの起源
CVSS は、米国の国家インフラ諮問委員会 (NIAC) の取り組みとして誕生しました。 2000 年代初頭、NIAC は、インフラストラクチャに対する潜在的な脅威をより適切に管理および軽減するために、IT の脆弱性を評価するための標準システムの必要性を認識しました。
CVSS の最初のバージョン (CVSS v1) は、Forum of Incident Response and Security Teams (FIRST) によって 2005 年にリリースされました。このツールは、統一された脆弱性評価を提供し、セキュリティ対応チームの意思決定プロセスを支援するように設計されています。それ以来、更新と改善が行われ、2019 年に 3 番目の最新バージョン (CVSS v3.1) が公開されました。
CVSS の詳細
CVSS は主に、脆弱性の重大度を公平に測定できるように設計されています。スコアリング システムにより、組織はシステムが直面する可能性のある最も重要な問題に焦点を当てることができます。これは単なる分類ツールではなく、脅威に対応して適切な行動をとるためのガイドでもあります。
CVSS スコアの範囲は 0 ~ 10 で、0 はリスクがないことを表し、10 は最高レベルの重大度を示します。これらのスコアは、次の 3 つの指標グループに基づいて計算されます。
-
基本指標: これらは、攻撃ベクトル、複雑さ、必要な権限、ユーザー操作、範囲、機密性、整合性、可用性への影響など、時間やユーザー環境の変化に応じて一定の脆弱性の特性です。
-
時間的メトリクス: これらの指標は時間の経過とともに変化し、脆弱性の現在の状態に対応します。これらには、悪用可能性、修復レベル、レポートの信頼性が含まれます。
-
環境指標: これらの指標は、巻き添え被害の可能性、ターゲットの分布、セキュリティ要件など、ユーザーの環境に固有のものです。
CVSS フレームワークを解明する
CVSS フレームワークは、脆弱性に関する情報を一貫したわかりやすい形式で取得して伝達するように設計されています。その構造は、ベクトル文字列とスコアリング メカニズムに基づいています。
-
ベクトル文字列: これらは、スコアを計算するために使用されるメトリックの単純なテキスト表現です。各メトリックには、その潜在的な影響を示す値が与えられます。たとえば、CVSS v3.1 では、ベクトル文字列は次のようになります: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。
-
スコアリングの仕組み: ベクトル文字列内のメトリクスに値を割り当てた後、数式を適用して基本スコアを生成します。次に、時間スコアと環境スコアが、さまざまな式を使用して基本スコアから導出されます。
CVSS の主な機能
CVSS フレームワークの顕著な機能には次のようなものがあります。
- 一貫性のある脆弱性評価のための標準化されたスコアリングシステム
- さまざまなタイプのシステムや脆弱性への幅広い適用性
- 時間的および環境固有の調整が可能
- 誰でも利用できる透明性とオープン性
- 詳細なメトリクスにより、脆弱性についての深い洞察が得られます
- 修復作業の優先順位付けを支援するように設計されています
CVSSの種類
これまでに公開されている CVSS のバージョンは 3 つあります。
- CVSS v1 (2005): IT 脆弱性を評価するための標準化された方法を提供する初期バージョン。
- CVSS v2 (2007): より洗練されたメトリクスで最初のバージョンを改良し、時間スコアと環境スコアを導入しました。
- CVSS v3.1 (2019): 最新バージョンでは、ベース、時間、および環境メトリクスの定義がさらに改善され、明確化されています。
CVSSの活用:課題と解決策
CVSS の主な用途は、脆弱性管理とインシデント対応プロセスです。組織は CVSS スコアを使用して、脆弱性の重大度に基づいて修復作業に優先順位を付けます。ただし、スコアリング システムは組織のビジネス コンテキストを考慮していないため、単独で使用すると非効率なリソース割り当てが発生する可能性があります。
解決策は、特定のビジネスへの影響とセキュリティ要件を考慮した、より大きなリスク管理フレームワークに CVSS スコアを組み込むことです。このようにして、企業は脆弱性管理に対してバランスの取れたアプローチを構築できます。
CVSSと他の標準の比較
IT の脆弱性を評価するシステムは他にもありますが、CVSS はその包括的な性質、オープン性、および広く普及している点で際立っています。以下に簡単な比較を示します。
| CVSS | OWASP リスク評価手法 | 恐怖 | |
|---|---|---|---|
| オープンスタンダード | はい | いいえ | いいえ |
| スコア範囲 | 0-10 | リスク レベル (低から重大) | 0-10 |
| 要因 | 機密性、完全性、可用性、悪用可能性、修復、レポートの信頼性 | 脅威エージェント、脆弱性、影響 | 損害、再現性、悪用可能性、影響を受けるユーザー、発見可能性 |
| 時間的および環境的指標の使用 | はい | いいえ | いいえ |
CVSSの将来
サイバー脅威が進化し続けるにつれて、CVSS も進化します。コミュニティは、脆弱性の重大度をより適切に反映するためにスコアリング システムを改良することに積極的に取り組んでいます。 AI と機械学習テクノロジーを統合して、CVSS スコアリング プロセスを自動化し、より正確にすることができます。
さらに、CVSS の将来のバージョンでは、IoT デバイスや産業用制御システムなど、刻々と変化するサイバー脅威の状況に対応するために、より多様なメトリクスが組み込まれる可能性があります。
プロキシサーバーとCVSS
OneProxy によって提供されるプロキシ サーバーと同様、プロキシ サーバーは、脆弱性の管理と CVSS スコアの利用において重要な役割を果たします。プロキシ サーバーは、クライアントからのリクエストの仲介者として機能することで、悪意のあるトラフィックをフィルタリングして除外し、攻撃対象領域と潜在的な脆弱性を減らすことができます。
さらに、堅牢な脆弱性管理プロセス (CVSS を含む) を備えたプロキシ サーバーを使用すると、保護を強化できます。プロキシ サーバーはトラフィックをログに記録するため、セキュリティ監査に貴重なデータを提供し、潜在的な脆弱性の特定に役立ちます。
関連リンク
CVSS の詳細については、次のリソースを参照してください。
CVSS を理解して適用することは、脆弱性管理と全体的なサイバーセキュリティ体制の改善を目指す組織にとって不可欠です。 CVSS をリスク評価フレームワークに統合することで、企業は脆弱性に優先順位を付けて効果的に対応できるようになります。
