プロジェクトマネージャ 試験情報＆徹底解説

CVSS(Common Vulnerability Scoring System：共通脆弱性評価システム)は、情報システムの脆弱性を評価するためのフレームワークです。ベンダーに依存しない共通かつ汎用的な方法が提供されているため、脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能です。

CVSSでは、次の3つの基準を順番に評価していき、最終的に脆弱性の深刻度を0（低）から10.0（高）のスコアで表します。算出されたスコアをもとに深刻度レベルを分類します。

基本評価基準（Base Metrics）

脆弱性自体の深刻度を評価する指標。機密性・可用性・完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基順となる

現状評価基準（Temporal Metrics）

脆弱性の現在の深刻度を評価する指標。攻撃を受ける可能性や利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準となる

環境評価基準（Environmental Metrics）

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する指標。二次被害の可能性や影響を受ける範囲などの項目から算出され、製品利用者ごとに変化する。利用者が脆弱性への対応を決めるために評価する基準となる

• CVSSv3では基本評価基準に変更が加えられたため、同じ脆弱性であってもCVSSv2とCVSSv3の評価値が異なることがあります。
• 正しい。CVBSSは、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法を目指して作成された枠組みであり、特定のベンダーに依存しない共通の評価方法が定められています。
• 深刻度のスコアは0.0～10.0で算出され、スコアが高いほど深刻度も高くなります。スコアに応じて緊急・重要・警告・注意の区分に分類されます。
• 2つではありません。評価基準は、脆弱性の技術的な特性を評価する「基本評価基準」、ある時点における脆弱性を取り巻く状況を評価する「現状評価基準」、利用者環境における問題の大きさを評価する「環境評価基準」の3つです。