CVSS
定義
CVSS(Common Vulnerability Scoring System)はソフトウェアの脆弱性の深刻度を0.0〜10.0のスコアで標準化する業界指標で、FIRST(Forum of Incident Response and Security Teams)が管理しています(現在のバージョンは4.0)。スコアは基本値(脆弱性そのものの特性:攻撃ベクタ・複雑性・必要な権限・ユーザー操作の要否・影響範囲)・現状値(パッチの有無・悪用コードの公開状況)・環境値(自組織の状況に応じた調整)の3要素で構成されます。スコアは9.0以上が「緊急(Critical)」・7.0〜8.9が「高(High)」・4.0〜6.9が「中(Medium)」・0.1〜3.9が「低(Low)」に分類されます。CVSSスコアだけで優先度を決めると現実のリスクと乖離することがあり、CISA KEV(実際に悪用が確認されたか)とEPSS(今後30日以内に悪用される確率)を組み合わせた三角測量で優先度を判断するアプローチが推奨されています。
関連用語
CVSSが登場する記事・比較
よくある質問
CVSSとは?
脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Critical)」でパッチ適用が最優先となる。
同じカテゴリの用語(フレームワーク)
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…
組織が保有・利用する端末、サーバー、SaaS、クラウド資産、データ、アカウントを一覧化した台帳。脆弱性管理や権限棚卸しの…