用語比較
CVEとCVSSの違い
CVEは脆弱性を識別するためのID、CVSSは脆弱性の深刻度を評価するためのスコア体系。役割が異なる。
- 難易度
- 初級
- 想定読者
- 脆弱性管理担当・情シス・初心者
- 所要時間
- 約8分
CVEとは
公開された脆弱性を一意に識別するためのID。例としてCVE-YYYY-NNNNの形式で表される。
CVSSとは
脆弱性の深刻度を数値化する評価体系。攻撃条件や影響範囲などをもとにスコア化する。
違いの比較表
| 比較軸 | CVE | CVSS |
|---|---|---|
| 役割 | 脆弱性を識別する | 深刻度を評価する |
| 形式 | ID | 数値スコアとベクター |
| 使い方 | 対象脆弱性を追跡する | 対応優先度の参考にする |
| 注意点 | IDだけでは危険度は分からない | スコアだけでは自社影響は分からない |
使い分け
- 脆弱性チケットではCVE番号で対象を明確にする
- 初動優先度はCVSS、悪用状況、露出、自社資産の重要度を合わせて判断する
- 経営報告ではCVE番号よりも影響資産と対応状況を説明する
よくある誤解
- CVSS 10.0なら必ず自社で最優先、とは限らない
- CVSSが低ければ無視してよい、とは限らない
- CVE番号がない脆弱性や設定不備もリスクになり得る