CVSSとは共通脆弱性評価システム(Common Vulnerability Scoring System)の略称で、情報システムに対するベンダーに依存しないオープンで汎用的な評価手法になっています。大抵の脆弱性情報にはCVSSで評価されたスコアが提示されており、そのスコアを元に脆弱性対策の実施判断(実施のタイミングや、実施の有無等)をする事ができます。

CVSSには「基本評価基準」「現状評価基準」「環境評価基準」の3つの評価基準があり、それぞれ細分化され評価値(スコア)を算出する形になっています。

  1. 基本評価基準
    • 攻撃元区分(AV)
      どこから攻撃されるのか
    • 攻撃条件の複雑さ(AC)
      攻撃に必要な条件の複雑さ
    • 必要な特権レベル(PR)
      攻撃に特別な権限が必要か
    • ユーザ関与レベル(UI)
      攻撃に利用者の関与が必要か
    • スコープ(S)
      攻撃による影響範囲
    • 機密性への影響(C)
      攻撃による情報漏洩の可能性
    • 完全性への影響(I)
      攻撃による情報改竄の可能性
    • 可用性への影響(A)
      攻撃による業務停止の可能性
  2. 現状評価基準
    • 攻撃される可能性(E)
      攻撃コードや攻撃手法が実際に利用可能か
    • 利用可能な対策のレベル(RL)
      脆弱性対策がどの程度利用可能か
    • 脆弱性情報の信頼性(RC)
      脆弱性情報の信頼性
  3. 環境評価基準
    • 対象システムのセキュリティ要求度(CR,IR,AR)
      要求されるセキュリティ特性に関して機密性・完全性・可用性の要求度を評価
    • 環境条件を加味した基本評価の再評価(MAV,MAC,MPR,MUI,MS,MC,MI,MA)
      基本評価基準についての実情に合わせた再評価

これらを数値化した値の評価値(0〜10)で深刻度を表します。

  1. 緊急(9.0〜10.0)
  2. 重要(7.0〜8.9)
  3. 警告(4.0〜6.9)
  4. 注意(0.1〜3.9)
  5. なし(0.0)

例えば、緊急であれば即時対応が必要と判断できますし、重要であれば攻撃元区分・必要な特権レベル・ユーザー関与レベルの評価を見て即時対応か否かを判断するという事も出来ます。

参考例として2つ挙げておきます。

  1. WordPress用プラグインBrowser and Operating System FinderにおけるCSRFの脆弱性
    CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:Nで基本評価値は4.3(警告)とされています。

    AV:Nはネットワークから攻撃を受ける
    AC:Lは攻撃の複雑さは低い
    PR:Nは特権レベルは不要
    UI:Rは利用者の関与が必要
    S:Uはスコープ変更なし
    C:Nは機密性への影響なし
    I:Lは完全性への影響低い
    A:Nは可用性への影響なし

    なので、緊急性は低く充分な検証をして対策しても良いと判断できます。

  2. WordPress用プラグインAdvanced Custom Fieldsにおける複数の認証欠如の脆弱性
    CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:Nで基本評価値は4.3(警告)とされています。

    AV:Nはネットワークから攻撃を受ける
    AC:Lは攻撃の複雑さは低い
    PR:Lは特権レベルは低い
    UI:Nは利用者の関与が不要
    S:Uはスコープ変更なし
    C:Lは機密性への影響低い
    I:Nは完全性への影響なし
    A:Nは可用性への影響なし

    なので、緊急性は若干高めで充分な検証よりも対策を優先すべきと判断できます。

同じ基本評価値でも利用者の関与の有無や機密性への影響の有無によって判断が変わるという事に注意が必要です。

このようにCVSSスコアの基本評価基準だけでも読み解くことが出来るようになることで、脆弱性情報が出た時に行うべき事は何なのかの判断が出来るようになりますので、非常に重要な情報になります。情報システムに携わる人には必須と言っても良い情報になります。