CVSS スコア

CVSS は Common Vulnerability Scoring System の略で、脆弱性の重大度およびリスクを示すための業界オープン標準です。CVSS は、全世界的な Vulnerability Disclosure Framework のサポートを目的として、National Infrastructure Advisory Council(NIAC)により作成されました。現在では FIRST(Forum of Incident Response and Security Teams)により管理されています。

CVSS 標準について

サービスでは CVSS バージョン 2 および CVSS バージョン 3.1がサポートされています。

CVSS 標準の一般情報については、次の場所にある FIRST CVSS のホームページを参照してください。

http://www.first.org/cvss/

CVSS 標準の具体的な情報については、以下を参照してください。

http://www.first.org/cvss/user-guide.html

CVSS スコアを有効にする方法

マネージャは「CVSS Setup」ページ(「Reports」->「Setup」->「CVSS」)で、サブスクリプションの CVSS スコア機能を有効にできます。デフォルトでは、新しいサブスクリプションで CVSS スコア機能は有効になっていません。

有効になった CVSS スコアが表示される場所

脆弱性と潜在的な脆弱性の CVSS v2 スコアおよび CVSS v3.1 スコアは、ベクトル文字列とともに、UI およびレポートを通じて確認できます。収集情報の CVSS スコアは表示されません。CVSS 基本値と現状値は、脆弱性の詳細を含むスキャンレポートに表示されます。CVSS ベクトル文字列は、CSV 形式のスキャンレポートに表示されます。CVSS スコアは、ホストベースおよびスキャンベースの検出結果のあるテンプレートベースのスキャンレポートに表示されます。CVSS v2 および CVSS v3.1 スコアは、ベクトル文字列とともに、PCI スキャンレポートにも表示されます。

CVSS ベクトル文字列について

CVSS スコア評価基準について

脆弱性の CVSS スコアを計算するには、基本値、現状値、環境評価基準が必要です。基本値と現状値は、セキュリティサービスによって提供されます。環境評価基準はユーザが定義し、アセットグループに割り当てられます。

最終的な CVSS スコアを計算するための CVSS 評価基準を示す図

 

サービスによって提供される値サービスによって提供される値

CVSS 基本値は、脆弱性の基本的な不変の特性を測定するものです。最終 CVSS スコアが計算されると、基本値は CVSS 現状値および環境評価基準により修正されます。

CVSS 現状値は、脆弱性の特性のうち、時間の経過とともに変わる可能性があり、時間に依存する特性を測定するものです。現状値には、脆弱性の全体的な CVSS スコアを小さくする軽減要素が考慮されています。

CVSS Access Vector は、CVSS 基本評価基準グループの一部で、脆弱性を悪用するために必要となるアクセスレベルを示します。CVSS Access Vector の値は、Local Access、Adjacent Network、および Network です。CVSS Access Vector が表示されるのは「Vulnerability Information」ページのみです。

ユーザが指定する環境評価基準についてユーザが指定する環境評価基準について

CVSS 環境評価基準は、ユーザの IT 環境に関連する脆弱性の特徴を把握するために使用します。ユーザは、これらの値をアセットグループに設定します。グループに設定された値は、グループ内のすべてのホストに適用されます。

「Collateral Damage Potential」は、物理的な装置の損失や資産の損害の可能性を示します。

「Target Distribution」は、脆弱性の影響を受ける対象システムの領域の相対的な規模を示します。

次のセキュリティ要件評価基準により、該当するホストがユーザの組織に与える重要性に応じて、ユーザは最終的な CVSS スコアをカスタマイズできます。

「Confidentiality Requirement」は、機密性の損失が組織または組織に関連する個人(例えば、従業員や顧客)に与える影響を表します。

「Integrity Requirement」は、整合性の損失が組織または組織に関連する個人(例えば、従業員や顧客)に与える影響を表します。

「Availability Requirement」は、可用性の損失が組織または組織に関連する個人(例えば、従業員や顧客)に与える影響を表します。

QID に複数の CVE ID が関連付けられている場合のスコアの計算方法

通常は、CVSSv2 の最も高い CVE 基本スコアが使用されます。ただし、QID にサービス不能(DoS)の CVE とその他のタイプ(DoS 以外)の脆弱性の CVE が混在している場合は除きます。このような場合は、すべてのサービス不能(DoS)の CVE を除外し、最も高い DoS 以外の CVE 基本スコアが使用されます。PCI DSS は Dos 脆弱性の CVSS スコアを考慮しないため、QID が PCI DSS コンプライアンスに対して正確にマークされるように、このような操作が行われます。