はじめに:CVSSとは? 🤔
インターネットを使っていると、「脆弱性(ぜいじゃくせい)」という言葉を聞くことがありますね。これは、ソフトウェアやシステムにあるセキュリティ上の「弱点」のことです。この弱点を放っておくと、悪い人に狙われて、情報が盗まれたり、コンピューターが乗っ取られたりする可能性があります🚨。
でも、世の中にはたくさんの脆弱性が見つかっています。全部にすぐ対応するのは大変ですよね💦。そこで登場するのが、CVSS (Common Vulnerability Scoring System) です。
CVSSは、見つかった脆弱性が「どれくらい危険なのか?」を評価するための世界共通の基準(ものさし)です。この「ものさし」を使うことで、たくさんの脆弱性の中から、どれを優先して対策すべきか判断しやすくなります。
CVSSは、特定の企業や団体に依存しないオープンな標準で、国際的なサイバーセキュリティ団体であるFIRST (Forum of Incident Response and Security Teams) によって管理されています。これにより、世界中の誰もが同じ基準で脆弱性の深刻度を理解し、話し合うことができるようになります🗣️🌍。
CVSSの仕組み:どうやって深刻度を測るの? ⚙️
CVSSは、いくつかの「評価基準」を組み合わせて、脆弱性の深刻度を0.0から10.0の数値(スコア)で表します。スコアが高いほど、その脆弱性はより深刻で、すぐに対応が必要だと考えられます。
CVSSにはバージョンがあり、現在はCVSS v4.0が最新版として2023年11月に公開されました。v4.0では、より現実のリスクを反映できるように、評価基準がさらに細かくなっています。
CVSS v4.0の主な評価基準は以下の通りです。
-
基本評価基準 (Base Metrics):
- 脆弱性そのものが持つ固有の特性を評価します。
- 攻撃の難しさ(攻撃元、複雑さ、必要な権限、ユーザーの操作が必要かなど)や、攻撃が成功した場合の影響(機密性、完全性、可用性への影響)を評価します。
- この評価は、時間が経っても変わりません。
-
脅威評価基準 (Threat Metrics):
- 脆弱性を悪用する攻撃コード(エクスプロイトコード)が出回っているかなど、現実の脅威状況を評価します。
- 以前のバージョン(v3.1)では「現状評価基準(Temporal Metrics)」と呼ばれていましたが、v4.0で名称が変更され、内容もよりシンプルになりました。
- この評価は、時間とともに変化する可能性があります。
-
環境評価基準 (Environmental Metrics):
- その脆弱性が存在するシステムが、あなたの組織や環境においてどれくらい重要か、どのような対策が取られているかを考慮して評価します。
- 例えば、とても重要な情報(個人情報など)を扱うシステムにある脆弱性は、そうでないシステムにある同じ脆弱性よりも、深刻度が高く評価されることがあります。
- この評価は、利用する組織や環境ごとに異なります。
-
補助評価基準 (Supplemental Metrics):
- v4.0で新しく追加された基準です。
- 自動化による攻撃が可能か、復旧は容易か、安全への影響はあるかなど、脆弱性に関する追加情報を示します。
- この基準はスコア計算には直接影響しませんが、対策を考える上で役立つ情報を提供します。
これらの基準を組み合わせて評価することで、より状況に応じた適切な深刻度を判断できます。v4.0では、どの基準を使って評価したかを明確にするために、CVSS-B (基本のみ)、CVSS-BT (基本+脅威)、CVSS-BE (基本+環境)、CVSS-BTE (基本+脅威+環境) のような表記を使うようになりました。
スコアの見方:どのくらい危険なの? 📊
算出されたCVSSスコアは、以下のように深刻度レベルに分けられます。これにより、どの脆弱性が特に危険なのか一目でわかります。
| 深刻度レベル | CVSS v3.x/v4.0 スコア | 対応の目安 |
|---|---|---|
| 緊急 (Critical) | 9.0 – 10.0 | 最も危険!最優先で対応が必要です。🚨 |
| 重要 (High) | 7.0 – 8.9 | 危険度が高い。早めの対応を検討しましょう。⚠️ |
| 警告 (Medium) | 4.0 – 6.9 | 中程度の危険度。計画的に対応しましょう。📝 |
| 注意 (Low) | 0.1 – 3.9 | 危険度は低いですが、可能であれば対応しましょう。👍 |
| なし (None) | 0.0 | 影響なし。基本的に対応不要です。😌 |
例えば、2021年に大きな問題となった「Log4Shell」と呼ばれる脆弱性(CVE-2021-44228)は、多くのシステムでCVSS基本スコアが10.0 (緊急) と評価され、世界中で迅速な対応が求められました。
ただし、基本スコアだけを見るのではなく、脅威評価基準や環境評価基準も考慮することが大切です。自社の環境に合わせて評価し直すことで、より現実に即した優先順位付けが可能になります。
スコアの計算は複雑ですが、FIRSTの公式サイトや、日本のJVN (Japan Vulnerability Notes) が提供する計算ツールを使うと簡単に算出できます。(ただし、2025年4月現在、JVNのツールはまだv4.0に完全対応していない場合があります。)
CVSSを活用するメリット ✨
- 共通言語で話せる: 開発者、運用者、経営層など、異なる立場の人々が、脆弱性の深刻度について同じ基準で理解し、コミュニケーションできます。
- 優先順位付けがしやすい: 数多く存在する脆弱性の中から、どの対策を優先すべきか、客観的な指標に基づいて判断できます。
- 世界標準: グローバルな基準であるため、海外の製品やサービス、セキュリティ情報とも比較・連携が容易です。
CVSSの限界と注意点 ⚠️
CVSSは非常に便利なツールですが、万能ではありません。注意点も理解しておきましょう。
- あくまで「深刻度」の指標: CVSSスコアが高いからといって、必ずしもあなたの組織にとって「リスク」が高いとは限りません。その脆弱性が存在するシステムがインターネットに接続されていない、重要でないデータを扱っているなどの場合は、リスクは低いかもしれません。
- 環境評価が重要: 基本スコアだけでなく、自社の環境に合わせて環境評価基準で再評価することが、より適切なリスク判断につながります。
- 評価者によるブレ: 評価基準の解釈によっては、評価者ごとにスコアが多少異なる可能性があります。
- 新しい脅威への追従: 脅威評価基準は時間とともに変化しますが、常に最新の情報が反映されているとは限りません。最新の脅威情報を別途収集することも重要です。
CVSSスコアは重要な判断材料の一つですが、それだけに頼るのではなく、自社の状況や他の情報(脅威情報、資産価値など)と組み合わせて総合的に判断することが大切です。
まとめ
CVSSは、ソフトウェアやシステムの脆弱性の「危険度」を測るための世界共通のものさしです📏。
- 0.0から10.0のスコアで深刻度を示し、値が大きいほど危険です。
- 基本・脅威・環境・補助といった複数の基準で評価します。
- 最新バージョンはCVSS v4.0です。
- 脆弱性対策の優先順位付けに役立ちますが、スコアだけでなく自社の状況も考慮することが重要です。
CVSSを理解し活用することで、より効果的なセキュリティ対策を進めることができます。ぜひ、セキュリティ情報をチェックする際にCVSSスコアにも注目してみてくださいね!😊
コメント