対象試験と出題頻度
CVSS(共通脆弱性評価システム)は、情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されることがあるテーマです。脆弱性の深刻度を評価する仕組みとして、基本的な考え方を押さえておきましょう。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)とは、一言で言うと「ソフトウェアの脆弱性の深刻度を0.0〜10.0の数値で評価する国際的な基準」のことです。
イメージとしては、「脆弱性の重症度を測る体温計」のようなものです。
病院で熱を測ると「37.5度だから微熱」「39度だから高熱」と判断できますよね。CVSSも同じように、脆弱性の深刻さを数値で表すことで、「この脆弱性は緊急対応が必要」「この脆弱性は様子見でOK」といった判断ができるようになります。
情報処理試験を勉強していると、「CVSSのスコアって何を基準に決まるの?」という疑問が浮かびがちです。CVSSでは「攻撃のしやすさ」「攻撃された場合の影響」などの観点から評価を行い、最終的に0.0〜10.0のスコアを算出します。試験では細かい計算方法までは問われないので、「深刻度を数値化する仕組み」という点を押さえておけば十分です。
📊 CVSSの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Common Vulnerability Scoring System |
| 日本語名 | 共通脆弱性評価システム |
| スコア範囲 | 0.0〜10.0(10.0が最も深刻) |
| 管理組織 | FIRST(Forum of Incident Response and Security Teams) |
| 現行バージョン | CVSS v4.0(2023年11月公開) |
解説
CVSSは、脆弱性の深刻度を客観的に評価するための国際標準です。ベンダーや組織によって評価基準がバラバラだと、「この脆弱性は本当に危険なのか」が判断しにくくなります。
CVSSを使えば、共通の物差しで脆弱性を評価できるため、対応の優先順位を決めやすくなります。
CVSSスコアと深刻度レベル
CVSSスコアは0.0〜10.0の範囲で表され、スコアに応じて深刻度レベルが決まります。スコアが高いほど深刻な脆弱性であり、早急な対応が必要です。
📊 CVSSスコアと深刻度レベル
| スコア範囲 | 深刻度 | 対応の目安 |
|---|---|---|
| 9.0〜10.0 | 緊急(Critical) | 直ちに対応が必要。攻撃される可能性が非常に高い |
| 7.0〜8.9 | 重要(High) | 早急に対応が必要。優先的にパッチを適用 |
| 4.0〜6.9 | 警告(Medium) | 計画的に対応。次のメンテナンス時に対処 |
| 0.1〜3.9 | 注意(Low) | 必要に応じて対応。リスクは限定的 |
| 0.0 | なし(None) | 脆弱性による影響なし |
💡 試験対策のポイント
試験では、CVSSスコアの具体的な計算方法は問われません。
「0.0〜10.0で評価」「スコアが高いほど深刻」「9.0以上は緊急対応が必要」という基本を押さえておけば十分です。
CVSSの3つの評価基準
CVSSは、以下の3つの評価基準(メトリクス)を組み合わせてスコアを算出します。試験では「3つの評価基準がある」という点を知っておけばOKです。
📊 CVSSの3つの評価基準
| 評価基準 | 評価内容 |
|---|---|
| 基本評価基準 (Base Metrics) |
脆弱性そのものの特性を評価。攻撃のしやすさ、影響の大きさなど。時間や環境によって変化しない固有の深刻度。 |
| 現状評価基準 (Temporal Metrics) |
時間経過で変化する要素を評価。攻撃コードの存在、パッチの提供状況など。 |
| 環境評価基準 (Environmental Metrics) |
利用者の環境に応じた要素を評価。該当システムの重要度、緩和策の有無など。 |
一般的に「CVSSスコア」と呼ばれるのは基本評価基準のスコアです。JVNなどで公開される脆弱性情報には、この基本評価基準のスコアが記載されています。
📌 基本評価基準の主な評価項目
攻撃元区分:ネットワーク経由か、物理的なアクセスが必要か
攻撃条件の複雑さ:攻撃を成功させるのが簡単か複雑か
必要な特権レベル:攻撃に管理者権限が必要か
ユーザ関与の必要性:被害者の操作(クリック等)が必要か
影響の範囲:機密性・完全性・可用性への影響度
CVSSの活用場面
CVSSは、脆弱性管理のさまざまな場面で活用されています。
📝 CVSSの活用例
パッチ適用の優先順位付け:CVSSスコアが高い脆弱性から優先的に対応
脆弱性情報の共有:JVNやNVDなどの脆弱性データベースで深刻度を表示
セキュリティポリシーの策定:「CVSSスコア7.0以上は48時間以内に対応」などのルール化
ベンダーへの対応要請:深刻度を客観的な数値で示して対応を求める
CVEとの関係
CVSSとよく一緒に登場するのがCVE(Common Vulnerabilities and Exposures)です。両者の関係を整理しておきましょう。
📊 CVSSとCVEの違い
| 項目 | CVSS | CVE |
|---|---|---|
| 目的 | 脆弱性の深刻度を評価する | 脆弱性を識別する |
| 表記形式 | 0.0〜10.0のスコア | CVE-2024-XXXXX形式の識別番号 |
| 役割 | 「どのくらい危険か」を示す | 「どの脆弱性か」を示す |
簡単に言えば、CVEは「脆弱性の名前」、CVSSは「脆弱性の深刻度」です。脆弱性情報では「CVE-2024-XXXXX(CVSSスコア9.8)」のように、両方がセットで表示されることが一般的です。
⚠️ 実務でのポイント
CVSSスコアだけで対応優先度を決めるのは危険です。スコアが低くても、自社で広く使っているシステムの脆弱性であれば優先的に対応すべきです。逆に、スコアが高くても使っていないソフトウェアなら対応不要です。
CVSSはあくまで「参考指標」であり、自組織の環境に合わせた判断が必要です。試験ではここまで深く問われませんが、実務では重要な視点です。
試験ではこう出る!
CVSSは、脆弱性に関する問題で登場することがあります。以下のポイントを押さえておきましょう。
【頻出キーワード】
- Common Vulnerability Scoring System(共通脆弱性評価システム)
- 脆弱性の深刻度を0.0〜10.0で評価
- スコアが高いほど深刻(9.0以上は緊急)
- 基本評価基準・現状評価基準・環境評価基準の3つがある
- CVEは識別番号、CVSSは深刻度スコア
試験問題で「脆弱性の深刻度を0.0〜10.0の数値で評価するシステム」や「脆弱性の影響度を共通の基準で評価する仕組み」といった記述があれば、それは「CVSS」に関する記述です。
📝 IPA試験での出題パターン
CVSSの問題は、「CVSSの説明として適切なものを選べ」「脆弱性の深刻度を評価する基準として適切なものを選べ」といった形式が考えられます。「0.0〜10.0のスコア」「深刻度の評価」というポイントを覚えておけば対応できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. CVSS(共通脆弱性評価システム)に関する説明として、最も適切なものはどれでしょうか?
- A. 世界中の脆弱性に一意の識別番号を割り当て、脆弱性を特定するための国際的な命名規則
- B. 日本国内で使用されるソフトウェアの脆弱性情報を収集・公開するポータルサイト
- C. 脆弱性の深刻度を0.0〜10.0のスコアで評価し、対応優先度の判断に活用される国際的な基準
正解と解説を見る
正解:C
解説:
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は、ソフトウェアの脆弱性の深刻度を0.0〜10.0のスコアで評価する国際的な基準です。スコアが高いほど深刻な脆弱性であり、早急な対応が必要とされます。9.0〜10.0は「緊急(Critical)」、7.0〜8.9は「重要(High)」などのレベルに分類され、パッチ適用の優先順位付けなどに活用されます。
選択肢Aは「CVE(Common Vulnerabilities and Exposures)」の説明です。CVEは脆弱性の識別番号、CVSSは深刻度スコアという違いがあります。選択肢Bは「JVN(Japan Vulnerability Notes)」の説明です。JVNはJPCERT/CCとIPAが共同運営する日本向けの脆弱性情報ポータルサイトです。
