最終更新日 2018年5月31日
独立行政法人 情報処理推進機構
セキュリティセンター
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。
その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。CVSSは、現在、30を超える組織で採用されています。
IPAもCVSS-SIGに参画しており、脆弱性対策情報データベース JVN iPedia や、脆弱性関連情報の調査結果のウェブサイトでCVSS v2基本値を公表しています。(2007年8月20日にCVSS v1からCVSS v2へ移行しました。) また、CVSS計算ソフトウェアの多国語版 も提供しています。
本資料はFIRSTから2007年6月に公開されたCVSS v2の資料を基に作成しました。詳細は、CVSS-SIGの「A Complete Guide to the CVSS Version 2.0」 を参照下さい。
1. 概要
CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
CVSSでは次の3つの基準で脆弱性を評価します。
(1) 基本評価基準 (Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、「機密性( Confidentiality Impact )」、「完全性( Integrity Impact )」、「可用性( Availability Impact )」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値( Base Score )を算出します。
この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。
ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
(2) 現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。
この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。
ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。
(3) 環境評価基準 (Environmental Metrics)
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。
この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。
製品利用者が脆弱性への対応を決めるために評価する基準です。
2. 脆弱性評価基準(注:CVSS v2で追加されたパラメタは朱記してあります。)
2.1 基本評価基準 (Base Metrics)
AV :攻撃元区分 (Access Vector)
脆弱性のあるシステムをどこから攻撃可能であるかを評価します。
| ■ローカル | ・対象システムを物理アクセスやローカル環境から攻撃する必要がある ・例えば、IEEE 1394 、 USB 経由、ローカルアクセス権限で攻撃が必要など |
|---|---|
| ■隣接 | ・対象システムを隣接ネットワークから攻撃する必要がある ・例えば、ローカル IP サブネット、ブルートゥース、 IEEE 802.11 など |
| ■ネットワーク | ・対象システムをネットワーク経由でリモートから攻撃可能である ・例えば RPC バッファオーバーフロー攻撃など |
AC :攻撃条件の複雑さ (Access Complexity)
脆弱性のあるシステムを攻撃する際に必要な条件の複雑さを評価します。
| ■高 | ・攻撃前に、権限昇格や偽装、疑われやすい方法での情報収集が必要である ・対象システムが特定の設定の場合のみ攻撃可能である |
|---|---|
| ■中 | ・特定のグループのシステムやユーザに対してのみ攻撃可能である ・攻撃前にいくつかの情報収集が必要である ・攻撃するには、標準以外の設定になっている必要がある |
| ■低 | ・特別な攻撃条件を必要とせず、対象システムを常に攻撃可能である |
Au :攻撃前の認証要否 (Authentication)
脆弱性を攻撃するために対象システムの認証が必要であるかどうかを評価します。
| ■複数 | ・攻撃する場合、2つ以上の認証(ログイン等)が必要である |
|---|---|
| ■単一 | ・攻撃前に認証(ログイン等)が必要である |
| ■不要 | ・攻撃前に認証(ログイン等)が不要である |
C :機密性への影響 (情報漏えいの可能性、 Confidentiality Impact )
脆弱性を攻撃された際に、対象システム内の機密情報が漏えいする可能性を評価します。
| ■なし | ・システムの機密性に影響はない |
|---|---|
| ■部分的 | ・一部の機密情報が参照可能である ・一部の重要なシステムファイルが参照可能である |
| ■全面的 | ・メモリやファイルにある機密情報が全て参照可能である ・重要なシステムファイルが全て参照可能である |
I :完全性への影響 (情報改ざんの可能性、 Integrity Impact )
脆弱性を攻撃された際に、対象システム内の情報が改ざんされる可能性を評価します。
| ■なし | ・システムの完全性に影響はない |
|---|---|
| ■部分的 | ・一部の情報が改ざん可能である ・一部のシステムファイルが改ざん可能である |
| ■全面的 | ・システム全体の情報が改ざん可能である ・システム保護機能を全て回避し、情報が改ざん可能である |
A :可用性への影響 (業務停止の可能性、 Availability Impact )
脆弱性を攻撃された際に、対象システム内の業務が遅延・停止する可能性を評価します。
| ■なし | ・システムの可用性に影響はない |
|---|---|
| ■部分的 | ・リソース(ネットワーク帯域、プロセッサ処理、ディスクスペースなど)を一部枯渇させることが可能である ・業務の遅延や一時中断が可能である |
| ■全面的 | ・リソースを完全に枯渇させることが可能である ・システムを完全に停止させることが可能である |
2.2 現状評価基準 (Temporal Metrics)
E :攻撃される可能性 (Exploitability)
攻撃コード・攻撃手法が実際に利用可能であるかを評価します。
| ■未実証 | ・実証コードや攻撃コードが利用可能でない ・攻撃手法が理論上のみで存在している |
|---|---|
| ■実証可能 | ・実証コードが存在している ・完成度の低い攻撃コードが存在している |
| ■攻撃可能 | ・攻撃コードが存在し、ほとんどの状況で使用可能である |
| ■容易に攻撃可能 | ・攻撃コードがいかなる状況でも利用可能である ・攻撃コードを必要とせず、攻撃可能である |
| ■未評価 | ・この項目を評価しない |
RL :利用可能な対策のレベル (Remediation Level)
脆弱性の対策がどの程度利用可能であるかを評価します。
| ■正式 | ・製品開発者からの正式対策が利用可能である |
|---|---|
| ■暫定 | ・製品開発者からの暫定対策が利用可能である |
| ■非公式 | ・製品開発者以外からの非公式な対策が利用可能である |
| ■なし | ・利用可能な対策がない ・対策を適用できない |
| ■未評価 | ・この項目を評価しない |
RC :脆弱性情報の信頼性 (Report Confidence)
脆弱性に関する情報の信頼性を評価します。
| ■未確認 | ・未確認の情報が1件のみ存在している ・いくつかの相反する情報が存在している |
|---|---|
| ■未確証 | ・セキュリティベンダーや調査団体から、複数の非公式情報が存在している |
| ■確認済 | ・製品開発者が脆弱性情報を確認している ・脆弱性情報が実証コードや攻撃コードなどにより広範囲に確認されている |
| ■未評価 | ・この項目を評価しない |
2.3 環境評価基準 (Environmental Metrics)
CDP :二次的被害の可能性 (Collateral Damage Potential)
対象システムが脆弱性を攻撃された場合の物理的な機器への被害や、生活基盤、身体などへ及ぼす二次的な被害の可能性を評価します。
| ■なし | ・攻撃されても二次的な被害が発生しない |
|---|---|
| ■軽微 | ・攻撃が成功すると軽微な被害が発生する可能性がある |
| ■中程度 | ・攻撃が成功すると中程度の被害が発生する可能性がある |
| ■重大 | ・攻撃が成功すると重大な被害が発生する可能性がある |
| ■壊滅的 | ・攻撃が成功すると壊滅的な被害が発生する可能性がある |
| ■未評価 | ・この項目を評価しない |
TD :影響を受ける対象システムの範囲 (Target Distribution)
利用環境の中で、脆弱性を攻撃される可能性のある対象システムを利用している範囲を評価します。
| ■なし | ・対象システムが全く存在しない ・対象システムが物理的に隔離されていて、利用環境へのリスクがない |
|---|---|
| ■小規模 | ・対象システムが存在するが、小程度の範囲で、利用環境の 1 ~ 25% にリスクがある |
| ■中規模 | ・対象システムが存在するが、中程度の範囲で、利用環境の 26 ~ 75% にリスクがある |
| ■大規模 | ・対象システムが広範囲に存在し、利用環境の 76~ 100% にリスクがある |
| ■未評価 | ・この項目を評価しない |
CR, IR, AR :対象システムのセキュリティ要求度(Security Requirements)
対象システムが要求されるセキュリティ特性に関して、その該当項目(「機密性(C)」、「完全性(I)」、「可用性(A)」)を重視する場合、その該当項目を高く評価します。
該当項目毎に、「機密性の要求度(Confidentiality Requirement, CR)」、「完全性の要求度(Integrity Requirement, IR)」、「可用性の要求度(Availability Requirement, AR)」を評価します。
| ■低 | ・対象システムの該当項目を失われても、一部の影響にとどまる |
|---|---|
| ■中 | ・対象システムの該当項目を失われると、深刻な影響がある。 |
| ■高 | ・対象システムの該当項目を失われると、壊滅的な影響がある。 |
| ■未評価 | ・この項目を評価しない |
3. 値の算出方法
3.1 CVSS 基本値 (Base Score)
影響度 = 10.41×( 1 - ( 1 - C )×( 1 - I )×( 1 - A ) ) …式(1)
攻撃容易性 = 20×AV×AC×Au …式(2)
f(影響度) = 0(影響度が0の場合) , 1.176(影響度が0以外の場合) …式(3)
基本値 = ((0.6× 影響度)+(0.4× 攻撃容易性 )-1.5)×f(影響度) …式(4)
(小数点第 2 位四捨五入)
| 基本評価基準 (Base Metrics) | 評価結果 | 値 |
|---|---|---|
| AV :攻撃元区分 (Access Vector) |
■ローカル | 0.395 |
| ■隣接 | 0.646 | |
| ■ネットワーク | 1.0 | |
| AC :攻撃条件の複雑さ (Access Complexity) |
■高 | 0.35 |
| ■中 | 0.61 | |
| ■低 | 0.71 | |
| Au :攻撃前の認証要否 (Authentication) |
■複数 | 0.45 |
| ■単一 | 0.56 | |
| ■不要 | 0.704 | |
| C :機密性への影響 (情報漏えいの可能性) ( Confidentiality Impact ) |
■なし | 0.0 |
| ■部分的 | 0.275 | |
| ■全面的 | 0.660 | |
| I :完全性への影響 (情報改ざんの可能性) ( Integrity Impact ) |
■なし | 0.0 |
| ■部分的 | 0.275 | |
| ■全面的 | 0.660 | |
| A :可用性への影響 (業務停止の可能性) ( Availability Impact ) |
■なし | 0.0 |
| ■部分的 | 0.275 | |
| ■全面的 | 0.660 |
3.2 CVSS 現状値 (Temporal Score)
現状値 = 基本値 ×E×RL×RC (小数点第 2 位四捨五入) …式(5)
| 現状評価基準 (Temporal Metrics) | 評価結果 | 値 |
|---|---|---|
| E :攻撃される可能性 (Exploitability) |
■未実証 | 0.85 |
| ■実証可能 | 0.90 | |
| ■攻撃可能 | 0.95 | |
| ■容易に攻撃可能 | 1.00 | |
| ■未評価 | 1.00 | |
| RL :利用可能な対策のレベル (Remediation Level) |
■正式 | 0.87 |
| ■暫定 | 0.90 | |
| ■非公式 | 0.95 | |
| ■なし | 1.00 | |
| ■未評価 | 1.00 | |
| RC :脆弱性情報の信頼性 (Report Confidence) |
■未確認 | 0.90 |
| ■未確証 | 0.95 | |
| ■確認済 | 1.00 | |
| ■未評価 | 1.00 |
3.3 CVSS 環境値 (Environmental Score)
| 調整後影響度 = | min(10.0,10.41×(1-(1-C×CR)×(1-I×IR)×(1-A×AR))) …式(6) |
| 調整後現状値 = | 式(3)式(4)の影響度に、式(6)の調整後影響度の計算結果を代入し、基本値を再計算する。その基本値で式(5)の現状値を再計算する。 …式(7) |
環境値 =( 調整後現状値 +(10- 調整後現状値 )×CD)×TD …式(8)
(小数点第 2 位四捨五入)
| 環境評価基準 (Environmental Metrics) | 評価結果 | 値 |
|---|---|---|
| CD :二次的被害の可能性 (Collateral Damage Potential) |
■なし | 0.0 |
| ■軽微 | 0.1 | |
| ■中程度 | 0.3 | |
| ■重大 | 0.4 | |
| ■壊滅的 | 0.5 | |
| ■未評価 | 0 | |
| TD :影響を受ける対象システムの範囲 (Target Distribution) |
■なし | 0.00 |
| ■小規模 | 0.25 | |
| ■中規模 | 0.75 | |
| ■大規模 | 1.00 | |
| ■未評価 | 1.00 | |
| CR :機密性の要求度 (Confidentiality Requirement) |
■低 | 0.5 |
| ■中 | 1.0 | |
| ■高 | 1.51 | |
| ■未評価 | 1.0 | |
| IR :完全性の要求度 (Integrity Requirement) |
■低 | 0.5 |
| ■中 | 1.0 | |
| ■高 | 1.51 | |
| ■未評価 | 1.0 | |
| AR :可用性の要求度 (Availability Requirement) |
■低 | 0.5 |
| ■中 | 1.0 | |
| ■高 | 1.51 | |
| ■未評価 | 1.0 |
参考情報
- 共通脆弱性評価システムCVSS v3概説(2015年7月21日公開)
https://www.ipa.go.jp/security/vuln/CVSSv3.html - 検知指標情報自動交換手順TAXII概説(2015年5月20日公開)
https://www.ipa.go.jp/security/vuln/TAXII.html - 脅威情報構造化記述形式STIX概説(2015年1月30日公開)
https://www.ipa.go.jp/security/vuln/STIX.html - サイバー攻撃観測記述形式CybOX概説(2014年3月20日公開)
https://www.ipa.go.jp/security/vuln/CybOX.html - セキュリティ設定チェックリスト記述形式XCCDF概説(2012年1月25日公開)
https://www.ipa.go.jp/security/vuln/XCCDF.html - 共通脆弱性識別子CCE概説(2010年6月24日公開)
https://www.ipa.go.jp/security/vuln/CCE.html - セキュリティ設定共通化手順SCAP概説(2010年2月25日公開)
https://www.ipa.go.jp/security/vuln/SCAP.html - セキュリティ検査言語OVAL概説(2009年11月30日公開)
https://www.ipa.go.jp/security/vuln/OVAL.html - 共通脆弱性識別子CVE概説(2009年1月26日公開)
https://www.ipa.go.jp/security/vuln/CVE.html - 共通プラットフォーム一覧CPE概説(2008年10月23日公開)
https://www.ipa.go.jp/security/vuln/CPE.html - 共通脆弱性タイプ一覧CWE概説(2008年9月10日公開)
https://www.ipa.go.jp/security/vuln/CWE.html
本件に関するお問い合わせ先
IPA セキュリティセンター(IPA/ISEC) 寺田/吉本
E-mail:
更新履歴
| 2018年5月31日 | お問い合わせ先を更新 |
|---|---|
| 2015年7月22日 | 参考情報を追加 |
| 2014年3月20日 | 参考情報を追加 |
| 2010年6月24日 | 参考情報を追加 |
2010年2月25日 |
参考情報を追加 |
| 2007年8月20日 | CVSS v2に移行した旨、追記しました。 |
| 2007年6月21日 | 「CVSS 新バージョンの公開」に合わせてCVSS v2版に更新 |
| 2007年2月22日 | 「深刻度評価の試行」に合わせて文言等を微修正 |
| 2006年12月26日 | 「ウェブアプリケーション開発者向けセキュリティ実装講座」資料として掲載 |
