概要
脆弱性の深刻度を表すCVSSの読み方について整理しました。
CVSSとは
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を評価するための指標で、FIRST(Forum of Incident Response and Security Teams)により、適用推進や仕様改善が行われています。
CVSSは脆弱性に対する汎用的な評価手法であり、ベンダーに依存せず、脆弱性の深刻度を同一の基準の下で定量的に比較できます。
CVSSの3つの基準
CVSSは以下の3つの基準で脆弱性を評価します。
1.基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。
セキュリティの3要素である、「機密性(Confidentiality Impact)」、「完全性(Integrity Impact)」、「可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価して算出します。この評価結果は、時間の経過や利用環境の異なりによって変化しません。
ベクタ表記 | 概要 | 詳細 |
AV | 攻撃元区分 |
N:ネットワーク |
AC | 攻撃条件の複雑さ |
L:低、特別な攻撃条件を必要とせず攻撃可能 |
PR | 必要な特権レベル | N:不要 L:低 H:高 |
UI | ユーザ関与レベル | N:不要、ユーザが何もしなくても脆弱性が攻撃される可能性がある。 R:要、リンクのクリック、ファイル閲覧、設定の変更など、ユーザ動作が必要である。 |
S | スコープ | U:変更なし C:変更あり (XSS等、影響範囲が脆弱性のあるコンポーネントの以外にも広がる場合に該当。) |
C | 機密性への影響 | H:高 L:低 N:なし |
I | 完全性への影響 | H:高 L:低 N:なし |
A | 可用性への影響 | H:高 L:低 N:なし |
2.現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。
攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出します。
この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。
現状評価基準は以下の式で算出します。
現状値 = RoundUp1(基本値×E×RL×RC)(小数点第1位切り上げ)
CVSSの基本値は脆弱性がセキュリティのCIAにもたらす影響度合いを表すものであり、
PoCの信頼性やベンダの対策状況により基本値より減少していきます。
ベクタ表記 | 概要 | 詳細 |
E | 攻撃される可能性 | X:未評価 H:容易に攻撃可能 F:攻撃可能 (攻撃コードが存在し、ほとんどの状況で使用可能である。) P:実証可能 (実証コードが存在している) U:未実証 (実証コードや攻撃コードが利用可能でないor攻撃手法が理論上のみで存在している) |
RL | 利用可能な対策のレベル | X:未評価 U:利用可能な対策がない。 W:製品開発者以外からの非公式な対策が利用可能である。 T:製品開発者からの暫定対策が利用可能である。 O:製品開発者からの正式対策が利用可能である。 |
RC | 脆弱性情報の信頼性 | X:未評価 C:製品開発者が脆弱性情報を確認している R:未確証複数の非公式情報が存在している。 U:未確認の情報のみ存在している。 |
3.環境評価基準(Environmental Metrics)
ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。
ベクタ表記 | 概要 | 詳細 |
CR | 機密性の要求度 | X:未評価 H:高、該当項目を失われると、壊滅的な影響がある。 M:中、該当項目を失われると、深刻な影響がある。 L:低、該当項目を失われても、一部の影響にとどまる。 |
IR | 完全性の要求度 | X:未評価 H:高、該当項目を失われると、壊滅的な影響がある。 M:中、該当項目を失われると、深刻な影響がある。 L:低、該当項目を失われても、一部の影響にとどまる。 |
AR | 可用性の要求度 | X:未評価 H:高、該当項目を失われると、壊滅的な影響がある。 M:中、該当項目を失われると、深刻な影響がある。 L:低、該当項目を失われても、一部の影響にとどまる。 |
7月に話題になったWindows上で稼働するDNSサーバにおける脆弱性については、Microsoftより現状評価値まで算出されています。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1350
また、CVSS値は以下のページで計算することもできます。
参考にさせていただいたサイト