CVSS（脆弱性評価）とは？

詳細解説

CVSS（Common Vulnerability Scoring System: 共通脆弱性評価システム）は、ソフトウェアやハードウェアの脆弱性の深刻度を客観的・標準的に評価するためのフレームワークで、0.0〜10.0のスコアで脆弱性の重大度を示します。NISの支援のもとFIRST（Forum of Incident Response and Security Teams）が管理しており、現在のバージョンはCVSS v4.0です。CVSSのスコアは3種類のメトリクスグループで構成されます。基本メトリクス（Base Metrics）：脆弱性そのものの特性（攻撃ベクタ・攻撃の複雑さ・必要な特権・ユーザーの関与・影響範囲・機密性/完全性/可用性への影響）を評価。これが基本スコア（0〜10）の基盤。現状メトリクス（Temporal Metrics）：現時点でのExploitコードの存在・パッチの有無で調整。環境メトリクス（Environmental Metrics）：自組織の環境・資産価値に応じてカスタマイズ。スコアの解釈は0.0=なし、0.1〜3.9=低、4.0〜6.9=中、7.0〜8.9=高、9.0〜10.0=緊急で分類されます。CVSSスコア9.0以上の「緊急」脆弱性はLog4Shell（10.0）・Heartbleed（7.5）・EternalBlue（8.1）などが知られています。日本ではIPAが国内向けにJVN（Japan Vulnerability Notes）でCVSS評価付きの脆弱性情報を公開しています。ITパスポート試験では「CVSSの目的」「スコアの意味（0〜10）」「CVEとの関係」「パッチ適用優先順位への活用」が出題されます。

ITパスポートでの出題ポイント

• 1脆弱性の深刻度を0〜10の数値で標準化（9.0以上が緊急）
• 2基本・現状・環境の3種のメトリクスでスコアを算出
• 3CVEと組み合わせてパッチ適用の優先順位決定に活用
• 4IPAがJVNでCVSSスコア付き脆弱性情報を公開

関連用語