メインコンテンツへスキップ
フレームワーク

CVSS v4.0

Common Vulnerability Scoring System Version 4.0

脆弱性の技術的な深刻度を共通指標で表現するCVSSの第4版。Baseに加え、ThreatとEnvironmentalの情報を組み合わせて組織の状況に応じた評価を行う。

CVSS v4.0はv3.1とメトリクスやベクトルが異なるため、数値だけを直接比較しません。深刻度は修正優先度そのものではなく、KEV、EPSS、公開範囲、資産重要度、代替策、業務影響と合わせて判断します。

  • 初心者向けには「脆弱性の技術的な厳しさを共通形式で表す最新版の物差し」と捉える
  • Baseスコアが高いことと、自組織で最優先に直すことは必ずしも同じではない
  • ベクトル文字列と使用したCVSS版を記録し、スコアだけを転記しない

よくある質問

CVSS v4.0とは?

脆弱性の技術的な深刻度を共通指標で表現するCVSSの第4版。Baseに加え、ThreatとEnvironmentalの情報を組み合わせて組織の状況に応じた評価を行う。

CVSS v4.0について詳しく知るには?

CVSS v4.0はv3.1とメトリクスやベクトルが異なるため、数値だけを直接比較しません。深刻度は修正優先度そのものではなく、KEV、EPSS、公開範囲、資産重要度、代替策、業務影響と合わせて判断します。

CVSS v4.0のポイントは?

初心者向けには「脆弱性の技術的な厳しさを共通形式で表す最新版の物差し」と捉える Baseスコアが高いことと、自組織で最優先に直すことは必ずしも同じではない ベクトル文字列と使用したCVSS版を記録し、スコアだけを転記しない

← 用語集一覧に戻る
ESC