CVSSスコアの読み方と限界
目次
CVSSとは
CVSS(Common Vulnerability Scoring System) は、ソフトウェアの脆弱性の深刻度を0.0〜10.0のスコアで表す業界標準の評価システムです。FIRST(Forum of Incident Response and Security Teams)が管理し、現在はバージョン4.0が最新です。
CVSSスコアは脆弱性データベース(NVD)に登録されたすべてのCVEに付与され、セキュリティチームが脆弱性の深刻度を判断する際の基本指標として広く利用されています。
CVSSスコアの構成
基本評価基準(Base Metrics)
脆弱性固有の特性を評価する指標群です。スコアの中核を成します。
- 攻撃元区分(Attack Vector): ネットワーク経由か、ローカルアクセスが必要か
- 攻撃条件の複雑さ(Attack Complexity): 攻撃成功に特殊な条件が必要か
- 必要な特権レベル(Privileges Required): 攻撃に認証が必要か
- ユーザー関与レベル(User Interaction): 被害者の操作が必要か
- 影響の範囲(Scope): 他のコンポーネントへの影響があるか
- 機密性への影響(Confidentiality): 情報漏洩の程度
- 完全性への影響(Integrity): データ改ざんの程度
- 可用性への影響(Availability): サービス停止の程度
現状評価基準(Temporal Metrics)
時間の経過とともに変化する要素です。
- 攻撃される可能性(Exploit Code Maturity): 攻撃コードの成熟度
- 利用可能な対策のレベル(Remediation Level): パッチの有無
- 脆弱性情報の信頼性(Report Confidence): 情報の確度
環境評価基準(Environmental Metrics)
組織固有の環境に応じた補正です。
- 対象システムの重要度
- 基本評価基準の組織向け再評価
スコアの読み方
| スコア範囲 | 深刻度 | 対応目安 |
|---|---|---|
| 9.0-10.0 | Critical | 即座に対応 |
| 7.0-8.9 | High | 早急に対応 |
| 4.0-6.9 | Medium | 計画的に対応 |
| 0.1-3.9 | Low | リスク受容も検討 |
CVSSの限界
1. コンテキストの欠如
CVSSは脆弱性の技術的な深刻度を評価しますが、組織固有のビジネスコンテキストを反映しません。同じCVSS 9.0の脆弱性でも、インターネットに公開されたシステムと、エアギャップで隔離されたシステムでは実際のリスクが大きく異なります。
2. 悪用可能性の無視
CVSSスコアが高くても、実際に攻撃に利用されている脆弱性は全体の**わずか2-5%**にすぎません。CVSSだけでは「本当に危険な脆弱性」と「理論上は深刻だが実際には悪用困難な脆弱性」を区別できません。
3. スコアインフレ
近年、Critical(9.0以上)に分類される脆弱性の割合が増加しています。すべてのCriticalに同じ緊急度で対応することは現実的に不可能であり、さらなる優先順位付けが必要です。
4. 静的な評価
CVSSの基本スコアは公開後に変更されません。しかし実際のリスクは、攻撃コードの公開、攻撃キャンペーンの開始、パッチの提供など、状況の変化に応じて動的に変わります。
CVSSを超える優先順位付け
CVSSの限界を補うため、現代の脆弱性管理では以下の指標を組み合わせることが推奨されています。
- EPSS(Exploit Prediction Scoring System): 今後 30 日間に悪用される確率
- KEV(Known Exploited Vulnerabilities): 実際に悪用が確認された脆弱性カタログ
- ビジネスインパクト(BI)スコア: 対象システムの事業上の重要度
- 攻撃面の露出度: 外部からのアクセス可能性
PentaTrail/CTEM では、CVSS に加えて EPSS と BI スコアを組み合わせた 脅威ディスカバリレベル(TDL) を算出します。さらに TER バンド(S/A/B/C/D)に分類して、真に対応すべき脆弱性を特定します。
CVSS と EPSS の組み合わせによる優先順位付けは 14日間無料で始める から体験できます。