• 脆弱性そのものの技術的な特性を評価する基本評価基準を改良

  • 攻撃の難易度

    • 脆弱性攻撃の前提条件に関する評価項目の追加

    • ユーザ関与レベル(UI)の細分化(不要、受動的、能動的)

  • 攻撃による影響

    • 影響の想定範囲(S: Scope)を、脆弱なコンポーネントへの影響、他のコンポーネントへの影響に細分化

• ある時点における脆弱性を取り巻く状況を評価する現状評価基準を改良

  • 現状評価基準から脅威評価基準へ名称変更

  • 利用可能な対策のレベル(RL: Remediation Level)、脆弱性情報の信頼性(RC: Report Confidence)を削除

  • 攻撃可能性(E)の名称を、攻撃の成熟度(E: Exploit Maturity)に変更

• そのシステムにおける問題の大きさを評価する環境評価基準を改良

  • 影響の想定範囲(S: Scope)を、脆弱なコンポーネントへの影響、他のコンポーネントへの影響に細分化して再評価

  • 他のコンポーネントへの影響の再評価において安全性を考慮

• 補助評価基準の新設

  • CVSSスコア算出の対象外

  • 安全性、攻撃の自動化可能性、情報の緊急度、回復の手段、攻撃に利用可能な資源、対処するための労力

• CVSSスコア算出アプローチの変更

  • CVSS v1～v3.1：計算式から算出

  • CVSS v4：270個のスコア区分に振り分けた後、微調整して算出 (MacroVectors and Interpolation)

脆弱性のあるシステムをどこから攻撃可能であるかを評価します。 

• ネットワーク(N: Network)：対象システムをネットワーク経由でリモートから攻撃可能である。例えば、インターネットからの攻撃など 

• 隣接(A: Adjacent)：対象システムを隣接ネットワークから攻撃する必要がある。例えば、ローカルIPサブネット、ブルートゥース、IEEE 802.11など 

• ローカル(L: Local)：対象システムをローカル環境から攻撃する必要がある。例えば、ローカルアクセス権限での攻撃が必要、ワープロのアプリケーションに不正なファイルを読み込ませる攻撃が必要など

• 物理(P:  Physical)：対象システムを物理アクセス環境から攻撃する必要がある。例えば、IEEE 1394、USB経由で攻撃が必要など

脆弱性のあるシステムを攻撃する際に必要な複雑さを評価します。

• 低(L: Low)：セキュリティ機構の回避などを必要とせず、対象システムを常に攻撃可能である。

• 高(H: High)：対象システムを攻撃するには、セキュリティ機構の回避などが必要となる。

脆弱性のあるシステムを攻撃する際に必要な前提条件の有無を評価します。

• なし(N: None)：攻撃を成功させるために、特定の条件は存在しない。

• あり(P: Present)：攻撃を成功させるためには、特定の条件が存在する。例えば、攻撃者は、攻撃を成功させるために、競合が発生する条件を明らかにする必要がある、中間者攻撃のため環境が必要となるなど

脆弱性のあるシステムを攻撃する際に必要な特権のレベルを評価します。

• 不要(N: None)：特別な権限を有する必要はない。

• 低(L: Local)：攻撃者は、システムに対する基本的な権限、例えば、秘密情報以外にアクセスできるなどの一般ユーザ権限を有していれば良い。

• 高(H: High)：攻撃者は、システムに対する管理者権限相当、例えば、システム設定ファイルにフルアクセスできるなどの権限を有する必要がある。

脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを評価します。

• 不要(N: None)：ユーザが何もしなくても脆弱性が攻撃される可能性がある。

• 受動的(P: Passive)：関与は必要だが、意識的な関与は不要
  脆弱性の悪用を成功させるには、ユーザが脆弱なシステムおよび攻撃者のペイロードと限定的に関与する必要がある。その関与は非自発的で、ユーザが脆弱なシステムに備えられている保護機構を突破する必要はない。例えば、ページが改ざんされ悪意のあるコンテンツを表示するように変更された本物のWebサイトへのアクセス、など

• 能動的(A: Active)：関与は必要で、意識的な関与が必要
  脆弱性の悪用を成功させるには、ユーザが脆弱なシステムおよび攻撃者のペイロードと意識的に関与する必要がある。ユーザの関与によって保護機構を突破することで、脆弱性の悪用が可能となる。例えば、脆弱なアプリケーションにインポートするファイルを特定のディレクトリに配置する、セキュリティ警告などを無視または受け入れてしまう、など

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を評価します。その際、脆弱なシステムへの影響(VC)と脆弱なシステムに関連する他のシステムへの影響(SC)の両方を評価します。

脆弱なシステムへの影響(VC)

• 高(H: High)：機密性が完全に失われ、脆弱なシステムのすべての情報が漏えいし、その問題による影響が全体に及ぶ。

• 低(L: Low)：機密性が部分的に失われ、脆弱なシステムにおいて情報漏えいなどが発生はするが、その問題による影響は限定的である。

• なし(N: None)：脆弱なシステムに機密性への影響はない。

脆弱なシステムに関連する他のシステムへの影響(SC)

• 高(H: High)：機密性が完全に失われ、脆弱なシステムに関連する他のシステムにおいても、すべての情報が漏えいし、その問題による影響が全体に及ぶ。

• 低(L: Low)：機密性が部分的に失われ、脆弱なシステムに関連する他のシステムにおいても、情報漏えいなどが発生はするが、その問題による影響は限定的である。

• なし(N: None)：脆弱なシステムに関連する他のシステムに機密性への影響はない。

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を評価します。その際、脆弱なシステムへの影響(VI)と脆弱なシステムに関連する他のシステムへの影響(SI)の両方を評価します。

脆弱なシステムへの影響(VI)

• 高(H: High)：完全性が完全に失われ、脆弱なシステムのすべての情報の改ざんが可能で、その問題による影響が全体に及ぶ。

• 低(L: Low)：完全性が部分的に失われ、脆弱なシステムにおいて情報の改ざんが可能となるが、その問題による影響は限定的である。

• なし(N: None)：脆弱なシステムに完全性への影響はない。

脆弱なシステムに関連する他のシステムへの影響(SI)

• 高(H: High)：完全性が完全に失われ、脆弱なシステムに関連する他のシステムにおいても、すべての情報の改ざんが可能で、その問題による影響が全体に及ぶ。

• 低(L: Low)：完全性が部分的に失われ、脆弱なシステムに関連する他のシステムにおいても、情報の改ざんが可能となるが、その問題による影響は限定的である。

• なし(N: None)：脆弱なシステムに関連する他のシステムに完全性への影響はない。

脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を評価します。その際、脆弱なシステムへの影響(VA)と脆弱なシステムに関連する他のシステムへの影響(SA)の両方を評価します。

脆弱なシステムへの影響(VA)

• 高(H: High)：可用性が完全に失われ、脆弱なシステムにおいて、リソースを完全に枯渇させる、完全に停止させることが可能であり、その問題による影響が全体に及ぶ。

• 低(L: Low)：可用性が部分的に失われ、脆弱なシステムにおいて、リソースを一時的に枯渇させたり、業務の遅延や一時中断が可能であるが、その問題による影響は限定的である。

• なし(N: None)：脆弱なシステムに可用性への影響はない。

脆弱なシステムに関連する他のシステムへの影響(SA)

• 高(H: High)：可用性が完全に失われ、脆弱なシステムに関連する他のシステムにおいても、リソースを完全に枯渇させる、完全に停止させることが可能であり、その問題による影響が全体に及ぶ。

• 低(L: Low)：可用性が部分的に失われ、脆弱なシステムに関連する他のシステムにおいても、リソースを一時的に枯渇させたり、業務の遅延や一時中断が可能であるが、その問題による影響は限定的である。

• なし(N: None)：脆弱なシステムに関連する他のシステムに可用性への影響はない。

攻撃コードや攻撃手法が実際に利用可能であるかを評価します。 

• 未評価(X: Not Defined)：この項目を評価しない。 

• 攻撃可能(A: Attacked)：攻撃活動は報告されている、あるいは、脆弱性を攻撃できる状態にある。

• 実証可能(P: Proof-of-Concept)：実証コードは存在しているが、悪用される段階に達していない。

• 未報告(U: Unreported)：実証コードや攻撃活動などは報告されていない。

要求されるセキュリティ特性に関して、その該当項目(「機密性(C)」、「完全性(I)」、「可用性(A)」)を重視する場合、その該当項目を高く評価します。該当項目毎に、「機密性の要求度(CR: Confidentiality Requirement)」、「完全性の要求度(IR: Integrity Requirement)」、「可用性の要求度(AR: Availability Requirement)：を評価します。

機密性の要求度(CR)

• 未評価(X: Not Defined)：この項目を評価しない。 

• 高(H: High)：該当項目を失われると、壊滅的な影響がある。

• 中(M: Medium)：該当項目を失われると、深刻な影響がある。

• 低(L: Local)：該当項目を失われても、一部の影響にとどまる。

完全性の要求度(IR)

• 未評価(X: Not Defined)：この項目を評価しない。 

• 高(H: High)：該当項目を失われると、壊滅的な影響がある。

• 中(M: Medium)：該当項目を失われると、深刻な影響がある。

• 低(L: Local)：該当項目を失われても、一部の影響にとどまる。

可用性の要求度(AR)

• 未評価(X: Not Defined)：この項目を評価しない。 

• 高(H: High)：該当項目を失われると、壊滅的な影響がある。

• 中(M: Medium)：該当項目を失われると、深刻な影響がある。

• 低(L: Local)：該当項目を失われても、一部の影響にとどまる。

• 未評価(X: Not Defined)：この項目を評価しない。 

• 未評価以外については、各項目が基本評価基準で使用している値を選択できる。

• 未評価(X: Not Defined)：この項目を評価しない。 

• 高(H: High)：機密性／完全性／可用性が完全に失われる。

• 低(L: Low)：機密性／完全性／可用性が部分的に失われる。

• 軽微(N: Negligible)：機密性／完全性／可用性への影響は軽微である。

• 安全性(S: Safety)：脆弱性が悪用された場合に、人が怪我をするなどの安全性に関する影響がある場合に使用する。IEC 61508による危害の程度が中程度、重大、致命的に該当する場合に、高(H)／低(L)／なし(N)以外に、安全性(S)を選択できる。

システムの使用目的や用途に安全性が含まれる場合には、そのシステムの脆弱性を悪用されたときに安全性への影響があるかどうかを明示できる基準です。

• 未評価(X: Not Defined)：この項目を評価しない。 

• 軽微(N: Negligible)：IEC 61508による危害の程度が軽微である。

• 影響あり(P: Present)：IEC 61508による危害の程度が中程度、重大、致命的に該当する。

IEC 61508による危害の程度

• 致命的(Catastrophic)： Multiple loss of life

• 重大(Critical)：                Loss of a single life

• 中程度(Marginal)：         Major injuries to one or more persons

• 軽微(Negligible)：           Minor injuries at worst

複数のシステムに対して、脆弱性を悪用した攻撃の自動化が可能かを評価します。自動化の対象範囲は、サイバーキルチェーンのステップである1.偵察(Reconnaissance)、2.武器化(Weaponization)、3.配送(Delivery)、4.攻撃(Exploitation)、5.インストール(Installation)、6.遠隔制御(Command and Control)、7.実行(Actions on Objectives)のうち、ステップ1～4(偵察、武器化、配送、攻撃)です。

• 未評価(X: Not Defined)：この項目を評価しない。 

• なし(N: No)：ステップ1～4(偵察、武器化、配送、攻撃)を自動化することはできない。

• あり(Y: Yes)：ステップ1～4(偵察、武器化、配送、攻撃)を確実に自動化できる。

製品ベンダ、販売代理店などが、利用者に対して、脆弱性情報の緊急度を伝達するための評価基準です。

• 未評価(X: Not Defined)：この項目を評価しない。 

• Red：脆弱性の影響の緊急度は高い

• Amber：脆弱性の影響の緊急度は中程度

• Green：脆弱性の影響の緊急度は低い

• Clear：脆弱性の影響に緊急性はない

脆弱性が攻撃された際に、性能と可用性の観点からサービスを回復するためのコンポーネント/システムの回復力を示す評価基準です。

• 未評価(X: Not Defined)：この項目を評価しない。 

• 自動(A: Automatic)：サービスは自動的に回復する。

• 手動(U: User)：サービスを回復するためにはユーザによる手動の介入を必要とする。

• 回復不能(I: Irrecoverable)：ユーザが介入しても回復できない。

攻撃者が攻撃活動のときに利用できる資源の状況を評価する基準です。

• 未評価(X: Not Defined)：この項目を評価しない。 

• 少ない(D: Diffuse)：脆弱性のあるコンポーネントを含むシステムは資源に限りがある。攻撃者が単一の攻撃で利用できる資源は比較的少ない。

• 豊富(C: Concentrated)：脆弱性のあるコンポーネントを含むシステムは資源が豊富である。

製品とサービスの脆弱性に対処するために必要な労力を示す評価基準です。

• 未評価(X: Not Defined)：この項目を評価しない。 

• 低(L: Local)：脆弱性に対処するために必要な労力は小さい。例えば、アップグレード、ファイアウォールによるアクセス制御など

• 中(M: Medium)：脆弱性に対処するためには、ある程度の作業が必要となる。例えば、サブシステムの無効化、ドライバー更新など

• 高(H: High)：脆弱性に対処するために必要な労力はとても大きく、サービスへの影響が持続する可能性がある。例えば、物理的な交換が必要、ハードウェアなどの修復不可能な障害など