共通脆弱性評価システムの最新版「CVSS v4.0」、FIRSTが正式発表:指標グループを拡充、新しい評価スコア名も導入
米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
米国の非営利団体FIRST(Forum of Incident Response and Security Teams)は2023年11月1日(米国時間)、共通脆弱(ぜいじゃく)性評価システム「CVSS」(Common Vulnerability Scoring System)の最新バージョン「CVSS v4.0」を正式に発表した。
CVSSは、ソフトウェアの脆弱性の特徴と重大性を伝えるためのオープンなフレームワークであり、さまざまな評価指標に基づいて、脆弱性の技術的重大性を反映した数値スコアを作成するために使用される。組織が脆弱性の管理プロセスを適切に評価して優先順位を付け、サイバー攻撃に対する防御策を準備する上で、また、消費者が脆弱性の脅威と影響を評価し、攻撃から自衛する上で役立っている。
CVSS v4.0では、より正確な脆弱性評価を可能にすることを目的に、CVSS v3.xに対して以下のような変更が行われた。
指標グループが4つに
CVSS v3.xは、Base(基本評価)、Temporal(現状評価)、Environmental(環境評価)の3つのメトリクス(指標)グループで構成されていた。だが、CVSS v4.0は、Base(基本評価)、Threat(脅威評価)、Environmental(環境評価)、Supplemental(補足評価)の4つの指標グループで構成されている。
Base指標グループ
新たな評価指標の追加により、CVSS v3.xよりも細分化されている。
Threat指標グループ
CVSS v3.xのTemporal指標グループを改称したもの。Temporal指標グループでは、3つの評価指標が含まれていたが、Threat指標グループでは、「Exploit Maturity」(エクスプロイトの成熟度)という指標に統合された。
Environmental指標グループ
環境固有のセキュリティ要件(脆弱なシステムの機密性要件、完全性要件、可用性要件)に関する評価指標の有効性が改善されている。
Supplemental指標グループ
新設されたこのグループには、「Automatable(wormable)」(自動化可能性)、「Recovery (resilience)」(回復力)、「Value Density」(価値密度)、「Vulnerability Response Effort」(脆弱性対応の労力)、「Provider Urgency」(プロバイダーの緊急性)、「Safety」(安全性)の各指標が含まれている。
新しい命名法
CVSSスコアの数値は、その算出に使われる指標によって異なる意味を持つ。このことから、CVSSスコアの名称の中に、どの指標グループの指標を使って算出したかを示す文字が含まれることになった。CVSSスコアの新名称と、それぞれの算出に使われる指標グループの対応は以下の通り。
- CVSS-B:CVSS基本スコア。Base指標グループ
- CVSS-BT:CVSS基本+脅威スコア。Base指標グループとThreat指標グループ
- CVSS-BE:CVSS基本+環境スコア。Base指標グループとEnvironmental指標グループ
- CVSS-BTE:CVSS基本+脅威+環境スコア。Base指標グループ、Threat指標グループ、Environmental指標グループ
CVSS v4.0のユーザーガイドでは、新しい命名法に関連する注意事項として、以下が挙げられている。
- この命名法は、CVSSスコアの数値が表示または伝達される場合、常に使用すべきである
- Environmental指標とThreat指標の適用は、CVSS利用者の責任で行う。製品のメンテナーなどの評価提供者や、その他の公的/民間組織(National Vulnerability Database〈NVD〉など)は通常、CVSS-Bとして示される基本スコアのみを提供する
- CVSS基本スコア(CVSS-B)は、脆弱性の重大性を測定するためのものであり、リスクを評価するために単独で使用してはならない
- CVSS基本スコアは、Environmental指標およびThreat指標に基づく評価によって補完されるべきである
追加の適用性
CVSS v4.0は、新たにOT(Operational Technology)、ICS(Industrial Control System)、IoT(モノのインターネット)への適用も可能になっている。
関連記事
「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン(CVSS 4.0)に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。
CVSS(共通脆弱性評価システム)3.0から3.1への変更点
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。