共通脆弱性評価システムCVSS概説

共通脆弱性評価システム CVSS （ Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会（ NIAC: National Infrastructure Advisory Council ）のプロジェクトで 2004年10月に原案が作成されました。

 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。

IPAもCVSS-SIGに参画しており、脆弱性対策情報データベース 
JVN iPedia のウェブサイトでCVSS v2基本値を公表しています。（
2007年8月20日にCVSS v1からCVSS v2へ移行しました。）　また、
CVSS計算ソフトウェアの多国語版 も提供しています。

本資料はFIRSTから2007年6月に公開されたCVSS v2の資料を基に作成しました。詳細は、CVSS-SIGの「
A Complete Guide to the Common Vulnerability Scoring System Version 2.0」 を参照下さい。

1. 概要

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

CVSSでは次の3つの基準で脆弱性を評価します。

(1) 基本評価基準 (Base Metrics)

脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、「機密性（ Confidentiality Impact ）」、「完全性( Integrity Impact ）」、「可用性( Availability Impact ）」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値( Base Score )を算出します。

この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。

ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。

(2) 現状評価基準 (Temporal Metrics)

脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。

この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。

ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。

(3) 環境評価基準 (Environmental Metrics)

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。

この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。

製品利用者が脆弱性への対応を決めるために評価する基準です。

2. 脆弱性評価基準（注：CVSS v2で追加されたパラメタは朱記してあります。）

2.1 基本評価基準 (Base Metrics)

AV ：攻撃元区分 (Access Vector)

脆弱性のあるシステムをどこから攻撃可能であるかを評価します。

AC ：攻撃条件の複雑さ (Access Complexity)

脆弱性のあるシステムを攻撃する際に必要な条件の複雑さを評価します。

Au ：攻撃前の認証要否 (Authentication)

脆弱性を攻撃するために対象システムの認証が必要であるかどうかを評価します。

C ：機密性への影響 （情報漏えいの可能性、 Confidentiality Impact ）

脆弱性を攻撃された際に、対象システム内の機密情報が漏えいする可能性を評価します。

I ：完全性への影響 （情報改ざんの可能性、 Integrity Impact ）

脆弱性を攻撃された際に、対象システム内の情報が改ざんされる可能性を評価します。

A ：可用性への影響 （業務停止の可能性、 Availability Impact ）

脆弱性を攻撃された際に、対象システム内の業務が遅延・停止する可能性を評価します。

2.2 現状評価基準 (Temporal Metrics)

E ：攻撃される可能性 (Exploitability)

攻撃コード・攻撃手法が実際に利用可能であるかを評価します。

RL ：利用可能な対策のレベル (Remediation Level)

脆弱性の対策がどの程度利用可能であるかを評価します。

RC ：脆弱性情報の信頼性 (Report Confidence)

脆弱性に関する情報の信頼性を評価します。

2.3 環境評価基準 (Environmental Metrics)

CDP ：二次的被害の可能性 (Collateral Damage Potential)

対象システムが脆弱性を攻撃された場合の物理的な機器への被害や、生活基盤、身体などへ及ぼす二次的な被害の可能性を評価します。

TD ：影響を受ける対象システムの範囲 (Target Distribution)

利用環境の中で、脆弱性を攻撃される可能性のある対象システムを利用している範囲を評価します。

CR, IR, AR ：対象システムのセキュリティ要求度(Security Requirements)

対象システムが要求されるセキュリティ特性に関して、その該当項目（「機密性（C）」、「完全性（I）」、「可用性（A）」）を重視する場合、その該当項目を高く評価します。
該当項目毎に、「機密性の要求度(Confidentiality Requirement, CR)」、「完全性の要求度(Integrity Requirement, IR)」、「可用性の要求度(Availability Requirement, AR)」を評価します。

3. 値の算出方法

3.1 CVSS 基本値 (Base Score)

影響度 = 10.41×( 1 - ( 1 - C )×( 1 - I )×( 1 - A ) )　…式(1)

攻撃容易性 = 20×AV×AC×Au　…式(2)

f(影響度) = 0(影響度が0の場合) , 1.176(影響度が0以外の場合)　…式(3)

基本値 = ((0.6× 影響度)+(0.4× 攻撃容易性 )-1.5)×f(影響度)　…式(4)
（小数点第 2 位四捨五入）

AV ：攻撃元区分 (Access Vector)

AC ：攻撃条件の複雑さ (Access Complexity)

Au ：攻撃前の認証要否 (Authentication)

C ：機密性への影響 （情報漏えいの可能性）（ Confidentiality Impact ）

I ：完全性への影響 （情報改ざんの可能性）（ Integrity Impact ）

A ：可用性への影響（業務停止の可能性）（ Availability Impact ）

3.2 CVSS 現状値 (Temporal Score)

現状値 = 基本値 ×E×RL×RC （小数点第 2 位四捨五入）　…式(5)

E ：攻撃される可能性 (Exploitability)

RL ：利用可能な対策のレベル (Remediation Level)

RC ：脆弱性情報の信頼性 (Report Confidence)

3.3 CVSS 環境値 (Environmental Score)

環境値 =( 調整後現状値 +(10- 調整後現状値 )×CD)×TD　…式(8)
（小数点第 2 位四捨五入）

CD ：二次的被害の可能性 (Collateral Damage Potential)

TD ：影響を受ける対象システムの範囲 (Target Distribution)

CR ：機密性の要求度 (Confidentiality Requirement)

IR ：完全性の要求度 (Integrity Requirement)

AR ：可用性の要求度 (Availability Requirement)