「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか：より詳細に、より簡単に

Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン（CVSS 4.0）に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。

[＠IT]

　セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱（ぜいじゃく）性評価システム「CVSS」の最新バージョン（CVSS 4.0）が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4〜9日（カナダ時間）に開催されたFIRST（Forum of Incident Response and Security Teams）の年次カンファレンスで発表された同内容の解説となる。

プレスリリース

　CVSS 4.0の主な変更点は以下の通り。

基本メトリクスの細分化

　新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」（Attack Complexity）は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。

スコープ（Scope）指標の廃止

　FIRSTによると、これまで使われていたスコープ指標は一貫性に欠けており、「影響を受けるシステムの評価に問題が生じていた」という。そのため、CVSS 4.0ではスコープ指標を廃止。代わりに「影響度」「機密性」「完全性」「可用性」メトリクスが拡張されている。

脅威メトリクスの簡素化

　「修復レベル」（Remediation Level）、「レポートの信頼性」（Report Confidence）、「エクスプロイトコードの成熟度（Exploit Code Maturity）の3つの脅威メトリクスが簡素化され、「エクスプロイトの成熟度」（Exploit Maturity）に統合された。

補足メトリクスの追加

　レスポンスの精度向上を目的に、脆弱性の“追加的な外部属性”が導入された。例えば、「自動化可能指標」は、攻撃者が脆弱性の悪用を自動化できるかを評価し、「回復性指標」は攻撃後のサービス回復力を測定する。

価値密度の考慮

　攻撃者が1回の悪用イベントでコントロールを獲得するリソースの価値密度（拡散型か集中型か）を評価する。

脆弱性対応の労力評価

　自社のインフラに配備された製品やサービスの脆弱性に対処する難易度を評価するための指標を導入した。「低、中、高」の3段階で評価され、FIRSTは「緩和策の適用や修復のスケジューリングに役立つ」としている。

プロバイダーの緊急性評価

　ソフトウェアサプライチェーン上の各プロバイダーが、リスクと緊急性の評価を「緑／琥珀（こはく）／赤」のスケールで提供できるようになった。サプライチェーンにおける最後発の製品プロバイダーはこれによって最適なアセスメントを提供できるという。

追加適用性

　運用技術（OT）、インターネット接続共有（ICS）、モノのインターネット（IoT）に関する適用性が追加された。

安全評価指標値

　環境評価指標に安全評価指標値を追加した。

　また、CVSS 4.0のメリットを最大限生かすには以下のような対応が必要だとFIRSTは述べている。

• データベースやデータフィードを活用して、脆弱性データのエンリッチメントを自動化する。例えば、基本メトリック値には「NVD」（National Vulnerability Database）を、環境メトリック値には「資産管理データベース」を、脅威メトリック値に「脅威インテリジェンスデータ」を使用するなどだ。
• これらの重要な属性を活用して、脆弱性データに対して新たなビューを作成する。例えば、解決を担当するサポートチームや重要なアプリケーション、内部向けコンポーネントと外部向けアプリケーション、ビジネスユニット、規制要件などを含めることで、異なる視点からの評価ができる。