検索
ニュース

共通脆弱性評価システムの最新版「CVSS v4.0」、FIRSTが正式発表指標グループを拡充、新しい評価スコア名も導入

米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。

Share
Tweet
LINE
Hatena

 米国の非営利団体FIRST(Forum of Incident Response and Security Teams)は2023年11月1日(米国時間)、共通脆弱(ぜいじゃく)性評価システム「CVSS」(Common Vulnerability Scoring System)の最新バージョン「CVSS v4.0」を正式に発表した。

 CVSSは、ソフトウェアの脆弱性の特徴と重大性を伝えるためのオープンなフレームワークであり、さまざまな評価指標に基づいて、脆弱性の技術的重大性を反映した数値スコアを作成するために使用される。組織が脆弱性の管理プロセスを適切に評価して優先順位を付け、サイバー攻撃に対する防御策を準備する上で、また、消費者が脆弱性の脅威と影響を評価し、攻撃から自衛する上で役立っている。

 CVSS v4.0では、より正確な脆弱性評価を可能にすることを目的に、CVSS v3.xに対して以下のような変更が行われた。

指標グループが4つに

 CVSS v3.xは、Base(基本評価)、Temporal(現状評価)、Environmental(環境評価)の3つのメトリクス(指標)グループで構成されていた。だが、CVSS v4.0は、Base(基本評価)、Threat(脅威評価)、Environmental(環境評価)、Supplemental(補足評価)の4つの指標グループで構成されている。


CVSS v4.0の4つの指標グループ(提供:FIRST)

Base指標グループ

 新たな評価指標の追加により、CVSS v3.xよりも細分化されている。

Threat指標グループ

 CVSS v3.xのTemporal指標グループを改称したもの。Temporal指標グループでは、3つの評価指標が含まれていたが、Threat指標グループでは、「Exploit Maturity」(エクスプロイトの成熟度)という指標に統合された。

Environmental指標グループ

 環境固有のセキュリティ要件(脆弱なシステムの機密性要件、完全性要件、可用性要件)に関する評価指標の有効性が改善されている。

Supplemental指標グループ

 新設されたこのグループには、「Automatable(wormable)」(自動化可能性)、「Recovery (resilience)」(回復力)、「Value Density」(価値密度)、「Vulnerability Response Effort」(脆弱性対応の労力)、「Provider Urgency」(プロバイダーの緊急性)、「Safety」(安全性)の各指標が含まれている。

新しい命名法

 CVSSスコアの数値は、その算出に使われる指標によって異なる意味を持つ。このことから、CVSSスコアの名称の中に、どの指標グループの指標を使って算出したかを示す文字が含まれることになった。CVSSスコアの新名称と、それぞれの算出に使われる指標グループの対応は以下の通り。

  • CVSS-B:CVSS基本スコア。Base指標グループ
  • CVSS-BT:CVSS基本+脅威スコア。Base指標グループとThreat指標グループ
  • CVSS-BE:CVSS基本+環境スコア。Base指標グループとEnvironmental指標グループ
  • CVSS-BTE:CVSS基本+脅威+環境スコア。Base指標グループ、Threat指標グループ、Environmental指標グループ

 CVSS v4.0のユーザーガイドでは、新しい命名法に関連する注意事項として、以下が挙げられている。

  • この命名法は、CVSSスコアの数値が表示または伝達される場合、常に使用すべきである
  • Environmental指標とThreat指標の適用は、CVSS利用者の責任で行う。製品のメンテナーなどの評価提供者や、その他の公的/民間組織(National Vulnerability Database〈NVD〉など)は通常、CVSS-Bとして示される基本スコアのみを提供する
  • CVSS基本スコア(CVSS-B)は、脆弱性の重大性を測定するためのものであり、リスクを評価するために単独で使用してはならない
  • CVSS基本スコアは、Environmental指標およびThreat指標に基づく評価によって補完されるべきである

追加の適用性

 CVSS v4.0は、新たにOT(Operational Technology)、ICS(Industrial Control System)、IoT(モノのインターネット)への適用も可能になっている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  4. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  5. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  6. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  7. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  8. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
ページトップに戻る