CVSS 基本値と現状値は、数値とベクトル文字列で表されます。ベクトル文字列は、スコアの決定に使用される評価基準値をテキストで表したものです。
「Vulnerability Information」を表示すると、「KnowledgeBase」およびスキャンレポートに含まれる任意の QID に対して、CVSS スコアとベクトル文字列が表示されます。
CVSS スコアが表示されない場合、マネージャユーザが、サブスクリプションで CVSS スコア機能を有効にする必要があります。
CVSS スコアとベクトル文字列の例を次に示します。(注記: CVSS は CVSS バージョン 2 を表し、CVSS3.1 は CVSS バージョン 3.1 を表します。)
CVSS 基本: 5.5 AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS 現状: 4.3 E:POC/RL:OF/RC:C
CVSS3 基本: 6.4 AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CVSS3 現状: 5.8 E:P/RL:O/RC:C
metric:value/metric:value/metric:value/metric:value/metric:value/metric:value
ここで、/ は、metric:value(評価基準:値)ペアの区切り文字です。
例えば、CVSS v2 基本ベクトル文字列“ AV:N/AC:L/Au:S/C:P/I:P/A:N ”には、次の値が含まれています。
AV:N は、Access Vector 評価基準の値が Network であることを示します。
AC:L は、Access Complexity 評価基準の値が Low であることを示します。
Au:S は、Authentication 評価基準の値が Single であることを示します。
C:P は、Confidentiality Impact 評価基準の値が Partial であることを示します。
I:P は、Integrity Impact 評価基準の値が Partial であることを示します。
A:N は、Availability Impact 評価基準の値が None であることを示します。
CVSS 標準で定義された CVSS v2 および v3.1 評価基準値を次に示します。
|
評価基準値 |
表示値 |
|
Access Vector(AV) |
|
|
Local |
L |
|
Adjacent Network |
A |
|
Network |
N |
|
Access Complexity(AC) |
|
|
Low |
L |
|
Medium |
M |
|
High |
H |
|
Authentication(Au) |
|
|
None |
N |
|
Single |
S |
|
Multiple |
M |
|
Confidentiality Impact(C) |
|
|
None |
N |
|
Partial |
P |
|
Complete |
C |
|
Integrity Impact(I) |
|
|
None |
N |
|
Partial |
P |
|
Complete |
C |
|
Availability Impact(A) |
|
|
None |
N |
|
Partial |
P |
|
Complete |
C |
|
評価基準値 |
表示値 |
|
Exploitability(E) |
|
|
Not Defined |
ND |
|
Unproven |
U |
|
Proof-of-Concept |
POC |
|
Functional |
F |
|
High |
H |
|
Remediation Level(RL) |
|
|
Not Defined |
ND |
|
Official Fix |
OF |
|
Temporary Fix |
TF |
|
Workaround |
W |
|
Unavailable |
U |
|
Report Confidence(RC) |
|
|
Not Defined |
ND |
|
Unconfirmed |
UC |
|
Uncorroborated |
UR |
|
Confirmed |
C |
|
評価基準値 |
表示値 |
|
Attack Vector(AV) |
|
|
Network |
N |
|
Adjacent Network |
A |
|
Local |
L |
|
Physical |
P |
|
Attack Complexity(AC) |
|
|
Low |
L |
|
High |
H |
|
Privileges Required(PR) |
|
|
None |
N |
|
Low |
L |
|
High |
H |
|
User Interaction(UI) |
|
|
None |
N |
|
Required |
R |
|
Scope |
|
|
Unchanged |
U |
|
Changed |
C |
|
Confidentiality Impact(C) |
|
|
None |
N |
|
Low |
L |
|
High |
H |
|
Integrity Impact(I) |
|
|
None |
N |
|
Low |
L |
|
High |
H |
|
Availability Impact(A) |
|
|
None |
N |
|
Low |
L |
|
High |
H |
|
評価基準値 |
表示値 |
|
Exploit Code Maturity(E) |
|
|
Not Defined |
X |
|
Unproven |
U |
|
Proof-of-Concept |
P |
|
Functional |
F |
|
High |
H |
|
Remediation Level(RL) |
|
|
Not Defined |
X |
|
Official Fix |
O |
|
Temporary Fix |
T |
|
Workaround |
W |
|
Unavailable |
U |
|
Report Confidence(RC) |
|
|
Not Defined |
X |
|
Unknown |
U |
|
Reasonable |
R |
|
Confirmed |
C |