CVSSとは

CVSS（Common Vulnerability Scoring System）は、情報システムの脆弱性に対する深刻度を評価し、共通の尺度で数値化するためのオープンな標準手法のことです。

日本語では「共通脆弱性評価システム」と呼ばれます。特定のベンダーに依存しない客観的な評価基準を提供することで、セキュリティ担当者が優先的に対応すべき脆弱性を判断するための重要な指標として活用されています。

CVSSの評価構造

CVSSは、脆弱性の特性を多角的に分析するため、大きく分けて3つの基準で構成されています。これらを組み合わせることで、最終的なスコアが算出されます。

1. 基本評価基準（Base Score）

脆弱性そのものが持つ本質的な特性を評価します。時間が経過しても、また利用環境が異なっても変化しない不変的な指標です。

• 攻撃元区分（ネットワーク越しに攻撃可能か、物理的な接触が必要か等）
• 攻撃条件の複雑さ
• 必要な権限のレベル
• ユーザー関与の有無
• 機密性・完全性・可用性への影響度

2. 現状評価基準（Temporal Score）

脆弱性の現在の状態を評価します。攻撃コード（エクスプロイト）の出現状況や、修正パッチの提供有無など、時間の経過とともに変化する指標です。

3. 環境評価基準（Environmental Score）

利用者ごとの個別環境における深刻度を評価します。その脆弱性が存在するシステムが、組織内でどれほど重要な役割を担っているかなど、個別の事情を反映させます。

深刻度の判定

CVSSのスコアは、0.0から10.0までの範囲で算出されます。数値が大きいほど、その脆弱性の深刻度が高いことを示します。

スコアの計算理論

CVSS v3.1における基本スコア（Base Score）の算出は、複雑な計算式に基づいています。特に「影響度（Impact Subscore）」と「攻撃可能性（Exploitability Subscore）」という2つの要素が核心となります。

概念的な計算構造は、以下の要素の関係性として捉えることができます。

実際には、各メトリクスに割り当てられた数値係数を代入し、さらにスコープ（影響の波及範囲）の変更の有無によって計算式が分岐する詳細なアルゴリズムが定義されています。この厳密な定義により、評価者による主観を排除し、世界中で共通した評価結果を得ることが可能となっています。

CVSS導入のメリットと運用のポイント

優先順位の明確化

日々発見される膨大な脆弱性に対し、限られたリソースをどの修正作業に優先して投入すべきかを合理的に決定できます。

共通言語としての機能

開発者、セキュリティベンダー、ユーザーの間で、脆弱性の脅威レベルについて共通の認識を持つことができます。

継続的な再評価

現状評価基準（Temporal Score）を定期的に確認することで、修正パッチが公開された際や、攻撃手法が広まった際の最新のリスクを正確に把握することが重要です。

CVSSは、現代の脆弱性管理プロセスにおける世界標準の「物差し」であり、組織のセキュリティレベルを維持・向上させるために欠かせないツールとなっています。

関連用語

セキュリティテスト | 今更聞けないIT用語集

2024年10月30日

ゼロトラストセキュリティ | 今更聞けないIT用語集

2024年10月18日

クラウドソリューション

2025年2月18日

お問い合わせ

システム開発・アプリ開発に関するご相談がございましたら、APPSWINGBYまでお気軽にご連絡ください。

ご相談・お問い合わせはこちら

APPSWINGBYのミッションは、アプリでビジネスを加速し、

お客様とともにビジネスの成功と未来を形作ること。



私達は、ITテクノロジーを活用し、様々なサービスを提供することで、

より良い社会創りに貢献していきます。



T関する疑問等、小さなことでも遠慮なくお問合せください。３営業日以内にご返答致します。

お問い合わせはこちら

お気軽にどうぞ！

資料請求はこちら

Coming Soon

ご相談・お問合せはこちら

APPSWINGBYのミッションは、アプリでビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること。


私達は、ITテクノロジーを活用し、様々なサービスを提供することで、より良い社会創りに貢献していきます。


IT関する疑問等、小さなことでも遠慮なくお問合せください。３営業日以内にご返答させて頂きます。

お問合せはこちら

お気軽にどうぞ！

資料請求はこちら

Coming Soon