CVSS - 一般的な脆弱性評価システム

Common Vulnerability Scoring Systemの概要

CVSSではセキュリティ脆弱性の重大度を0から10の数値で評価します。セキュリティチームはCVSS評価を用いて脆弱性を確認し、改善策をリスク管理の一部として重視します。

米国拠点で世界中に500以上の参加組織を持つIncident Response and Security Teamsのフォーラム（FIRST）は、CVSSをオープンプラットフォームとして維持しています。オープンで標準化された手法で脆弱性を評価するのは優れていますが、CVSSの短所や閾値を理解し、貴社が正確に利用できるようにすることも重要です。

CVSS 2.0と3.0の検証により、新しいフレームワークはITリスクの評価と対応策の策定に向けたオープンで標準化された手法の最新の形態となりました。この新形式には、スコアの一貫性向上、利用者向けガイダンスの改善、現代の課題に応じたフレームワークの再評価などの強化点が含まれています。

‍

CVSSの歴史

最初のCVSS（2005年版）は、NIACによる研究プロジェクトの成果でした。しかし、FIRSTの専門家による初回査読で重大な問題が発見されたため、精度と実用性を向上させる決定がなされました。このため、多くの企業や専門家が登録された脆弱性の評価に参加し、SIG委員会が設置されました。

現在、CVSS-SIGは定期的な調査とフィードバックを通して、各バージョンの維持、評価、改善を行っています。

CVSSスコア指標

• ‍CVSSベース指標

この数値は、脆弱性の本質的な特性を評価したもので、環境に依存して変化することはありません。基本スコアは、利用容易性サブスコアと影響度サブスコアという2つの要素から構成され、それぞれ少数の指標で評価されます。

利用容易性サブスコアは、脆弱性がどれだけ容易に悪用されるかを示します。悪用が容易なほどスコアは高くなり、各指標は独自の値の基準で評価されます。

The Attack Vector (AV) 指標は、攻撃者が脆弱性を突くための容易さを示します。攻撃者が対象に直接アクセスしなければならない脆弱性は、近接ネットワーク経由での攻撃が可能な脆弱性よりもAVスコアが低くなり、さらに、より広域のネットワーク経由で悪用可能なものは高く評価されます。

攻撃の複雑度（AC）指標は、攻撃者が脆弱性を利用するために必要な条件を示します。スコアが低い場合は特別な条件がなく、繰り返し悪用が可能であることを意味し、高い場合は効果的な攻撃に追加情報が必要であることを示します。

必要な権限（PR）指標は、攻撃者が脆弱性を突くために必要なアクセスレベルを示します。低い権限の場合、攻撃が影響を及ぼすのは限定的なユーザ設定やデータにとどまり、高い場合は管理者権限などが必要となります。

ユーザーインタラクション（UI）指標は、攻撃の完遂に他のユーザーの操作が必要かどうかを示します。評価では、必要か否かの二択となります。

• CVSSテンポラル指標

この指標は、3つの基準に依拠しており、攻撃者が脆弱性をどのように悪用しているか、その対策にどのような選択肢があるかを把握するのに役立ちます。

現実に発見された攻撃コードや攻撃パックを踏まえ、攻撃コード成熟度（E）指標は脆弱性が悪用される可能性を示します。この指標は未定義にするか、または段階的に4段階で評価され、未定義は既知の攻撃コードが存在しないこと、概念実証は一部のコードが存在するが攻撃に不十分であること、機能的は実際に動作するコードがあること、高い場合は攻撃が簡単であるか、既存のコードが十分に実績を示していることを意味します。

修正レベル（RL）指標は、脆弱性の対策がどれほど容易かを示します。攻撃コード成熟度指標の逆評価とも言え、未定義または4段階（解決策がない、非公式な回避策、暫定的な修正、ベンダー提供の正式な修正）で評価されます。

報告の信頼度（RC）指標は、脆弱性がどれほど信頼をもって報告されるかを決定します。関係者間で意見が分かれる場合や、原因が明確でない場合もあり、この指標は未定義または3段階（未知、合理的、確認済み）で評価されます。

• CVSS環境指標

セキュリティ要件サブスコアは、特定の環境下で評価された影響度の3要素（機密性・完全性・可用性）に基づき、修正ベーススコアは貴社の特定条件を踏まえて基本スコアの要素を再計算します。

CVSSのセキュリティ指標は、未定義または低・中・高の3段階で評価されます。低は脆弱性の分類、完全性、可用性の不足が貴社やユーザ、顧客に影響を及ぼさないことを示し、中は重大な影響、高は壊滅的な影響を意味します。

更新されたベーススコアは従来と同様に計算されますが、脆弱性が存在する特定の状況が考慮されます。

CVEとCVSSの違い

脆弱性を理解するにあたり、CVE、CVSS、NVD、NISTなど多くの略語を覚える必要があります。CVE（Common Vulnerabilities and Exposures）は一般的な脆弱性と公開情報の略です。Miterは1999年、CVE ID、説明、日付、コメントを含むすべての公開脆弱性のリストとしてCVEを発表しました。続いてNISTは、MiterのCVEリストのデータを元に2005年にNational Vulnerability DBを設立しました。

セキュリティチームは、利用可能な場合、各CVEに対するCVSSスコアをNVD上で確認できます。NVDは製品、ベンダー、OS、種類などさまざまな基準で検索できるため、とても有用です。

要するに、脆弱性はCVE ID付きのリストに登録され、該当する場合はCVSSスコアが付与されます。

‍

スコアはどのように決定されるか

どの資産が脆弱であり、悪用された場合にどれほどの被害が出るかを把握することは重要です。CVSSの基本スコアはその目的のために利用されます。

幸い、NVDの計算ツールを用いて、悪用容易性や影響度といった要因から独自のスコアを算出できます。ホストの深刻な脆弱性が悪用されても貴社に影響がなければ、それほど問題ではないでしょう。CVSS 3.0のAPI機能により、コマンドラインやスクリプトから計算ツールを呼び出すことが可能です。

CVSSスコア評価

VTMやセキュリティチームは、CVSSスコアが高いまたは低い場合に懸念することがあります。しかし重要なのは、脆弱性が貴社にどのようなリスクをもたらすかを把握することです。例として、古いウェブサーバで機密情報を扱わず、ファイアウォールで守られており既知の攻撃が存在する場合、CVSSの基本スコアは高くとも重大なリスクとは言えません。

もしウェブに面したOSに未修正の脆弱性があるならば、対策を講じる必要があります。この脆弱性が突かれると、貴社が侵害され、顧客データの漏洩で報道される可能性があります。

組織はどのようにCVSSを採用・活用するか

一見単純に見えても、CVSS基本スコアは基準として活用すべきです。基本スコアは脆弱性の一般情報を提供しますが、潜在リスクを正確に把握するためには最新の状態に保つことが重要です。

Wallarmの脅威インテリジェンスツール（GoTestWAF、API Security Platform）を利用すれば、脆弱性に詳細な説明、悪用容易性スコア、最新の攻撃POCを付加できます。更新したCVSSスコアをもとに、悪用された場合のリスクが高い順に整理してください。

また、貴社がPCIなどの監査対象の場合、遵守すべき追加のセキュリティ基準が存在することもあります。セキュリティ対策の構築や脆弱性修正の優先順位付けにあたっては、専門の脆弱性リスク委員会やリスク管理チームがこれらの要素を考慮します。