Common Vulnerability Scoring System SIG
https://www.first.org/cvss/
CVSS 4.0は、基本評価基準、脅威評価基準、環境評価基準、補助評価基準の4つから構成されています。このうち、CVSSスコア算出に使用するのは、基本評価基準、脅威評価基準、環境評価基準の3つです。
脆弱性そのものの技術的な特性を評価する基本評価基準を改良
攻撃の難易度
脆弱性攻撃の前提条件に関する評価項目の追加
ユーザ関与レベル(UI)の細分化(不要、受動的、能動的)
攻撃による影響
影響の想定範囲(S: Scope)を、脆弱なコンポーネントへの影響、他のコンポーネントへの影響に細分化
ある時点における脆弱性を取り巻く状況を評価する現状評価基準を改良
現状評価基準から脅威評価基準へ名称変更
利用可能な対策のレベル(RL: Remediation Level)、脆弱性情報の信頼性(RC: Report Confidence)を削除
攻撃可能性(E)の名称を、攻撃の成熟度(E: Exploit Maturity)に変更
そのシステムにおける問題の大きさを評価する環境評価基準を改良
影響の想定範囲(S: Scope)を、脆弱なコンポーネントへの影響、他のコンポーネントへの影響に細分化して再評価
他のコンポーネントへの影響の再評価において安全性を考慮
補助評価基準の新設
CVSSスコア算出の対象外
安全性、攻撃の自動化可能性、情報の緊急度、回復の手段、攻撃に利用可能な資源、対処するための労力
CVSSスコア算出アプローチの変更
CVSS v1~v3.1:計算式から算出
CVSS v4:270個のスコア区分に振り分けた後、微調整して算出 (MacroVectors and Interpolation)
情報システムに求められる3つのセキュリティ特性、「機密性(Confidentiality Impact)」、「完全性(Integrity Impact)」、「可用性(Availability Impact)」に対する攻撃による影響(Impact Metrics)を、ネットワークから攻撃可能かどうかといった攻撃の難易度(Exploitability Metrics)から評価し、CVSS基本値(CVSS-B)を算出します。
この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。
ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
脆弱性のあるシステムをどこから攻撃可能であるかを評価します。
ネットワーク(N: Network):対象システムをネットワーク経由でリモートから攻撃可能である。例えば、インターネットからの攻撃など
隣接(A: Adjacent):対象システムを隣接ネットワークから攻撃する必要がある。例えば、ローカルIPサブネット、ブルートゥース、IEEE 802.11など
ローカル(L: Local):対象システムをローカル環境から攻撃する必要がある。例えば、ローカルアクセス権限での攻撃が必要、ワープロのアプリケーションに不正なファイルを読み込ませる攻撃が必要など
物理(P: Physical):対象システムを物理アクセス環境から攻撃する必要がある。例えば、IEEE 1394、USB経由で攻撃が必要など
脆弱性のあるシステムを攻撃する際に必要な複雑さを評価します。
低(L: Low):セキュリティ機構の回避などを必要とせず、対象システムを常に攻撃可能である。
高(H: High):対象システムを攻撃するには、セキュリティ機構の回避などが必要となる。
脆弱性のあるシステムを攻撃する際に必要な前提条件の有無を評価します。
なし(N: None):攻撃を成功させるために、特定の条件は存在しない。
あり(P: Present):攻撃を成功させるためには、特定の条件が存在する。例えば、攻撃者は、攻撃を成功させるために、競合が発生する条件を明らかにする必要がある、中間者攻撃のため環境が必要となるなど
脆弱性のあるシステムを攻撃する際に必要な特権のレベルを評価します。
不要(N: None):特別な権限を有する必要はない。
低(L: Local):攻撃者は、システムに対する基本的な権限、例えば、秘密情報以外にアクセスできるなどの一般ユーザ権限を有していれば良い。
高(H: High):攻撃者は、システムに対する管理者権限相当、例えば、システム設定ファイルにフルアクセスできるなどの権限を有する必要がある。
脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを評価します。
不要(N: None):ユーザが何もしなくても脆弱性が攻撃される可能性がある。
受動的(P: Passive):関与は必要だが、意識的な関与は不要
脆弱性の悪用を成功させるには、ユーザが脆弱なシステムおよび攻撃者のペイロードと限定的に関与する必要がある。その関与は非自発的で、ユーザが脆弱なシステムに備えられている保護機構を突破する必要はない。例えば、ページが改ざんされ悪意のあるコンテンツを表示するように変更された本物のWebサイトへのアクセス、など
能動的(A: Active):関与は必要で、意識的な関与が必要
脆弱性の悪用を成功させるには、ユーザが脆弱なシステムおよび攻撃者のペイロードと意識的に関与する必要がある。ユーザの関与によって保護機構を突破することで、脆弱性の悪用が可能となる。例えば、脆弱なアプリケーションにインポートするファイルを特定のディレクトリに配置する、セキュリティ警告などを無視または受け入れてしまう、など
脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を評価します。その際、脆弱なシステムへの影響(VC)と脆弱なシステムに関連する他のシステムへの影響(SC)の両方を評価します。
高(H: High):機密性が完全に失われ、脆弱なシステムのすべての情報が漏えいし、その問題による影響が全体に及ぶ。
低(L: Low):機密性が部分的に失われ、脆弱なシステムにおいて情報漏えいなどが発生はするが、その問題による影響は限定的である。
なし(N: None):脆弱なシステムに機密性への影響はない。
高(H: High):機密性が完全に失われ、脆弱なシステムに関連する他のシステムにおいても、すべての情報が漏えいし、その問題による影響が全体に及ぶ。
低(L: Low):機密性が部分的に失われ、脆弱なシステムに関連する他のシステムにおいても、情報漏えいなどが発生はするが、その問題による影響は限定的である。
なし(N: None):脆弱なシステムに関連する他のシステムに機密性への影響はない。
脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を評価します。その際、脆弱なシステムへの影響(VI)と脆弱なシステムに関連する他のシステムへの影響(SI)の両方を評価します。
高(H: High):完全性が完全に失われ、脆弱なシステムのすべての情報の改ざんが可能で、その問題による影響が全体に及ぶ。
低(L: Low):完全性が部分的に失われ、脆弱なシステムにおいて情報の改ざんが可能となるが、その問題による影響は限定的である。
なし(N: None):脆弱なシステムに完全性への影響はない。
高(H: High):完全性が完全に失われ、脆弱なシステムに関連する他のシステムにおいても、すべての情報の改ざんが可能で、その問題による影響が全体に及ぶ。
低(L: Low):完全性が部分的に失われ、脆弱なシステムに関連する他のシステムにおいても、情報の改ざんが可能となるが、その問題による影響は限定的である。
なし(N: None):脆弱なシステムに関連する他のシステムに完全性への影響はない。
脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を評価します。その際、脆弱なシステムへの影響(VA)と脆弱なシステムに関連する他のシステムへの影響(SA)の両方を評価します。
高(H: High):可用性が完全に失われ、脆弱なシステムにおいて、リソースを完全に枯渇させる、完全に停止させることが可能であり、その問題による影響が全体に及ぶ。
低(L: Low):可用性が部分的に失われ、脆弱なシステムにおいて、リソースを一時的に枯渇させたり、業務の遅延や一時中断が可能であるが、その問題による影響は限定的である。
なし(N: None):脆弱なシステムに可用性への影響はない。
高(H: High):可用性が完全に失われ、脆弱なシステムに関連する他のシステムにおいても、リソースを完全に枯渇させる、完全に停止させることが可能であり、その問題による影響が全体に及ぶ。
低(L: Low):可用性が部分的に失われ、脆弱なシステムに関連する他のシステムにおいても、リソースを一時的に枯渇させたり、業務の遅延や一時中断が可能であるが、その問題による影響は限定的である。
なし(N: None):脆弱なシステムに関連する他のシステムに可用性への影響はない。
脆弱性が置かれている現在の深刻度を評価する基準です。攻撃コードの出現有無といった基準で評価し、CVSS現状値(CVSS-BT:基本評価+脅威評価)を算出します。
この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。
ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。
攻撃コードや攻撃手法が実際に利用可能であるかを評価します。
未評価(X: Not Defined):この項目を評価しない。
攻撃可能(A: Attacked):攻撃活動は報告されている、あるいは、脆弱性を攻撃できる状態にある。
実証可能(P: Proof-of-Concept):実証コードは存在しているが、悪用される段階に達していない。
未報告(U: Unreported):実証コードや攻撃活動などは報告されていない。
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価し、 CVSS環境値(CVSS-BTE:基本評価+脅威評価+環境評価 or CVSS-BE:基本評価+環境評価)を算出します。
この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。
製品利用者が脆弱性への対応を決めるために評価する基準です。
要求されるセキュリティ特性に関して、その該当項目(「機密性(C)」、「完全性(I)」、「可用性(A)」)を重視する場合、その該当項目を高く評価します。該当項目毎に、「機密性の要求度(CR: Confidentiality Requirement)」、「完全性の要求度(IR: Integrity Requirement)」、「可用性の要求度(AR: Availability Requirement):を評価します。
未評価(X: Not Defined):この項目を評価しない。
高(H: High):該当項目を失われると、壊滅的な影響がある。
中(M: Medium):該当項目を失われると、深刻な影響がある。
低(L: Local):該当項目を失われても、一部の影響にとどまる。
未評価(X: Not Defined):この項目を評価しない。
高(H: High):該当項目を失われると、壊滅的な影響がある。
中(M: Medium):該当項目を失われると、深刻な影響がある。
低(L: Local):該当項目を失われても、一部の影響にとどまる。
未評価(X: Not Defined):この項目を評価しない。
高(H: High):該当項目を失われると、壊滅的な影響がある。
中(M: Medium):該当項目を失われると、深刻な影響がある。
低(L: Local):該当項目を失われても、一部の影響にとどまる。
未評価(X: Not Defined):この項目を評価しない。
未評価以外については、各項目が基本評価基準で使用している値を選択できる。
未評価(X: Not Defined):この項目を評価しない。
高(H: High):機密性/完全性/可用性が完全に失われる。
低(L: Low):機密性/完全性/可用性が部分的に失われる。
軽微(N: Negligible):機密性/完全性/可用性への影響は軽微である。
安全性(S: Safety):脆弱性が悪用された場合に、人が怪我をするなどの安全性に関する影響がある場合に使用する。IEC 61508による危害の程度が中程度、重大、致命的に該当する場合に、高(H)/低(L)/なし(N)以外に、安全性(S)を選択できる。
システムの使用目的や用途に安全性が含まれる場合には、そのシステムの脆弱性を悪用されたときに安全性への影響があるかどうかを明示できる基準です。
未評価(X: Not Defined):この項目を評価しない。
軽微(N: Negligible):IEC 61508による危害の程度が軽微である。
影響あり(P: Present):IEC 61508による危害の程度が中程度、重大、致命的に該当する。
IEC 61508による危害の程度
致命的(Catastrophic): Multiple loss of life
重大(Critical): Loss of a single life
中程度(Marginal): Major injuries to one or more persons
軽微(Negligible): Minor injuries at worst
複数のシステムに対して、脆弱性を悪用した攻撃の自動化が可能かを評価します。自動化の対象範囲は、サイバーキルチェーンのステップである1.偵察(Reconnaissance)、2.武器化(Weaponization)、3.配送(Delivery)、4.攻撃(Exploitation)、5.インストール(Installation)、6.遠隔制御(Command and Control)、7.実行(Actions on Objectives)のうち、ステップ1~4(偵察、武器化、配送、攻撃)です。
未評価(X: Not Defined):この項目を評価しない。
なし(N: No):ステップ1~4(偵察、武器化、配送、攻撃)を自動化することはできない。
あり(Y: Yes):ステップ1~4(偵察、武器化、配送、攻撃)を確実に自動化できる。
製品ベンダ、販売代理店などが、利用者に対して、脆弱性情報の緊急度を伝達するための評価基準です。
未評価(X: Not Defined):この項目を評価しない。
Red:脆弱性の影響の緊急度は高い
Amber:脆弱性の影響の緊急度は中程度
Green:脆弱性の影響の緊急度は低い
Clear:脆弱性の影響に緊急性はない
脆弱性が攻撃された際に、性能と可用性の観点からサービスを回復するためのコンポーネント/システムの回復力を示す評価基準です。
未評価(X: Not Defined):この項目を評価しない。
自動(A: Automatic):サービスは自動的に回復する。
手動(U: User):サービスを回復するためにはユーザによる手動の介入を必要とする。
回復不能(I: Irrecoverable):ユーザが介入しても回復できない。
攻撃者が攻撃活動のときに利用できる資源の状況を評価する基準です。
未評価(X: Not Defined):この項目を評価しない。
少ない(D: Diffuse):脆弱性のあるコンポーネントを含むシステムは資源に限りがある。攻撃者が単一の攻撃で利用できる資源は比較的少ない。
豊富(C: Concentrated):脆弱性のあるコンポーネントを含むシステムは資源が豊富である。
製品とサービスの脆弱性に対処するために必要な労力を示す評価基準です。
未評価(X: Not Defined):この項目を評価しない。
低(L: Local):脆弱性に対処するために必要な労力は小さい。例えば、アップグレード、ファイアウォールによるアクセス制御など
中(M: Medium):脆弱性に対処するためには、ある程度の作業が必要となる。例えば、サブシステムの無効化、ドライバー更新など
高(H: High):脆弱性に対処するために必要な労力はとても大きく、サービスへの影響が持続する可能性がある。例えば、物理的な交換が必要、ハードウェアなどの修復不可能な障害など
CVSSスコアの算出アプローチが変更されました。CVSS v4では、従来のように計算式から算出するのではなく、270個のスコア区分に振り分けた後、微調整して算出する、「マイクロベクタと補間 (MacroVectors and Interpolation)」という方法を使用します。270個のスコア区分は、CVSS環境値(CVSS-BTE:基本評価+脅威評価+環境評価)の組合せ、約1500万件を元に作成したものです。各パラメタ値の組合せの特徴から、270個のスコア区分のいずれかに振り分けます。その後、スコア区分に付与されているCVSSスコア区分値に対して、CVSSスコア区分値とスコア値が低くなる組合せとの差を元に、微調整をして算出します。
CVSS v1~v3.1:計算式から算出
CVSS v4:270個のスコア区分に振り分けた後、微調整して算出 (MacroVectors and Interpolation)
図1:270個のスコア区分に付与されているCVSSスコア値の分布
図2:CVSS v4におけるパラメタ組合せの頻度分布
図3:CVSS v1~v4における深刻度のレベル分けとパラメタ組合せの頻度分布
脆弱性攻撃の前提条件
攻撃の実行条件
攻撃の前提条件
脆弱なシステムへの影響(機密性)
機密性への影響
脆弱なシステムの機密性への影響
他のシステムへの影響(機密性)
後続システムの機密性への影響
攻撃の成熟度
攻撃される可能性
エクスプロイトの成熟度
攻撃の自動化可能性
自動化可能性
攻撃の自動化
ワーム可能
情報の緊急度
供給者による緊急度
プロバイダー緊急度
プロバイダーの緊急性
回復の手段
回復力
リカバリー
回復可能性
攻撃に利用可能な資源
価値密度
値密度
価値の密度
対処するための労力
脆弱性対応工数
脆弱性対応困難性
対応の困難度
脆弱性対応への取り組み
脆弱性対応の労力
脆弱性対応の努力
Last modified: 2023/11/15 21:11:07
First Published: 2023/04/16 16:33:32