Overview
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)とは、セキュリティ脆弱性の深刻度を定量的に評価するための国際標準フレームワークです。FIRST(Forum of Incident Response and Security Teams)が管理・策定しており、0.0から10.0までのスコアで脆弱性の深刻度を数値化します。現在の最新バージョンはCVSS v4.0(2023年11月リリース)です。
CVSSの主な目的は、組織が脆弱性対応の優先順位を客観的かつ一貫した基準で判断できるようにすることです。CVSSスコアがなければ、脆弱性の深刻度は主観的な判断に委ねられ、組織ごとに異なる基準で対応が行われてしまいます。CVSSにより、セキュリティチームはリソースを最も深刻な脆弱性に集中させることが可能になります。
CVSSスコアはNone(0.0)、Low(0.1-3.9)、Medium(4.0-6.9)、High(7.0-8.9)、Critical(9.0-10.0)の5段階に分類されます。ただし、スコアだけでなく、自組織の環境における実際のリスクを考慮した総合的な判断が重要です。近年では、CVSSスコアの限界を補完するためにEPSS(Exploit Prediction Scoring System)などの補助指標も活用されています。
Details
CVSSの3つの評価基準グループ
CVSSは基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準(Environmental Metrics)の3つのグループで構成されます。基本評価基準は脆弱性固有の特性を評価し、時間や環境によって変化しない普遍的な深刻度を示します。
現状評価基準は、エクスプロイトの利用可能性や修正パッチの有無など、時間とともに変化する要素を反映します。環境評価基準は、各組織固有の環境における影響度を調整するために使用されます。一般的に公開されるCVSSスコアは基本評価基準のみで算出されることが多く、組織は自らの環境に合わせた調整が推奨されます。
基本評価基準(Base Metrics)の詳細
基本評価基準は攻撃元区分(Attack Vector)、攻撃条件の複雑さ(Attack Complexity)、必要な特権レベル(Privileges Required)、ユーザー関与レベル(User Interaction)の4つの攻撃容易性指標と、機密性への影響(Confidentiality)、完全性への影響(Integrity)、可用性への影響(Availability)の3つの影響度指標で構成されます。
例えば、ネットワーク経由で認証なしに悪用でき、機密性・完全性・可用性のすべてに完全な影響を与える脆弱性は、CVSSスコア10.0(Critical)と評価されます。Log4Shell(CVE-2021-44228)がまさにこのケースです。
CVSS v4.0の改良点
CVSS v4.0では、v3.1からの大幅な改良が行われました。新たに補足評価基準(Supplemental Metrics)が追加され、脆弱性の自動化可能性(Automatable)やリカバリの容易さ(Recovery)など、より詳細な文脈情報を提供できるようになりました。
また、v4.0では評価の命名体系が見直され、「CVSS-B」(基本のみ)、「CVSS-BE」(基本+環境)、「CVSS-BT」(基本+現状)、「CVSS-BTE」(全評価基準)のように、どの基準を使用したかが明示されるようになりました。これにより、スコアの比較における混乱を軽減することを目指しています。
CVSSスコアの限界と補完手法
CVSSスコアは脆弱性の技術的な深刻度を示しますが、実際のリスク評価には不十分な面があります。例えば、CVSSスコアが高くても実際に悪用される可能性が低い脆弱性は多く、逆にスコアが中程度でも活発に悪用されている脆弱性も存在します。
EPSS(Exploit Prediction Scoring System)は、機械学習を用いて今後30日以内に脆弱性が悪用される確率を予測する指標です。CVSSとEPSSを組み合わせることで、より実践的な優先順位判断が可能になります。また、SSVC(Stakeholder-Specific Vulnerability Categorization)は、組織の立場に応じた意思決定フレームワークとして注目されています。
Security Measures
- 01CVSSスコアに基づく対応優先度の基準を策定:組織内でCVSSスコアの深刻度レベルに応じた対応期限を明確に定めましょう。Critical(9.0-10.0)は即日対応、High(7.0-8.9)は1週間以内、Medium(4.0-6.9)は1か月以内など、具体的なSLAを設けることで迅速な対応を促進します。
- 02環境評価基準による自組織向けスコアの調整:NVDなどで公開されるCVSSスコアは基本評価基準のみの場合がほとんどです。自組織の環境における資産の重要性や、既存の緩和策を考慮した環境評価基準を適用し、実態に即したスコアに調整して優先度判断を行ってください。
- 03EPSSなどの補助指標を組み合わせた総合評価:CVSSスコアだけでなく、EPSSによる悪用確率や、KEV(Known Exploited Vulnerabilities)カタログでの掲載有無など、複数の指標を組み合わせて脆弱性の実際のリスクを総合的に評価しましょう。
- 04CVSS v4.0への移行計画を策定:CVSS v4.0では評価の精度と粒度が向上しています。現在v3.1を使用している組織は、v4.0への移行計画を立て、ツールやプロセスの更新を段階的に進めてください。移行期間中はv3.1とv4.0の両方のスコアを併記することも有効です。
- 05自動化ツールによるCVSSスコアの継続的監視:脆弱性管理ツールを活用し、資産に関連するCVSSスコアの変動を自動的に追跡してください。新しいエクスプロイトの出現や攻撃の活発化により、現状評価基準が変化する場合があるため、継続的な監視が重要です。
- 06CVSSスコアの経営層向けレポーティング体制を整備:CVSSスコアの分布や対応状況を定期的に経営層に報告し、セキュリティリスクの可視化を図りましょう。ダッシュボードを活用して、Critical/Highの未対応脆弱性数の推移や対応率を分かりやすく提示することが効果的です。
Incidents
📋 CVSSスコアの過信による対応遅延 — Citrix Bleed(CVE-2023-4966)(2023年)
2023年10月、Citrix NetScaler ADCおよびGatewayに重大な情報漏洩の脆弱性(CVE-2023-4966、通称「Citrix Bleed」)が公開されました。当初のCVSSスコアは7.5(High)と評価されましたが、実際にはセッショントークンの窃取によるセッションハイジャックが容易に実行可能でした。
多くの組織がCVSSスコアの「High」評価を受けて最優先とせず対応を後回しにした結果、ランサムウェアグループ「LockBit」をはじめとする攻撃者による大規模な悪用を許しました。この事例は、CVSSスコアだけに依存せず、実際の悪用状況や攻撃の影響を総合的に判断する重要性を示しています。
📋 CVSS 10.0の脆弱性への緊急対応 — Spring4Shell(CVE-2022-22965)(2022年)
2022年3月、Java Spring FrameworkにリモートコードのCVE-2022-22965(通称「Spring4Shell」)が公開されました。CVSSスコア9.8(Critical)と評価され、Log4Shellの再来として大きな注目を集めました。多くの組織がCriticalスコアに基づき即時の緊急対応を開始しました。
しかし、実際には悪用条件がLog4Shellより限定的であり、影響を受ける環境は特定の構成に限られていました。結果として、一部の組織ではCVSSスコアのみに基づく過剰な緊急対応にリソースを費やし、より現実的なリスクのある他の脆弱性への対応が遅れるというトレードオフが生じました。
📋 低CVSSスコア脆弱性の連鎖による大規模侵害 — SolarWinds Orion(2020年)
2020年のSolarWinds Orionのサプライチェーン攻撃では、個々の脆弱性のCVSSスコアは必ずしもCriticalではありませんでしたが、複数の脆弱性と攻撃手法を連鎖させることで、米国政府機関を含む18,000以上の組織への侵入を成功させました。
この事件は、CVSSスコアが個別の脆弱性を評価するものであり、脆弱性の連鎖(Attack Chain)によるリスクの増大を十分に反映できないという構造的な限界を浮き彫りにしました。組織は、単一のCVSSスコアだけでなく、攻撃シナリオ全体を通じたリスク評価の重要性を認識するきっかけとなりました。