CVSS
定義
CVSS(Common Vulnerability Scoring System)はソフトウェアの脆弱性の深刻度を0.0〜10.0のスコアで標準化する業界指標で、FIRST(Forum of Incident Response and Security Teams)が管理しています(現在のバージョンは4.0)。スコアは基本値(脆弱性そのものの特性:攻撃ベクタ・複雑性・必要な権限・ユーザー操作の要否・影響範囲)・現状値(パッチの有無・悪用コードの公開状況)・環境値(自組織の状況に応じた調整)の3要素で構成されます。スコアは9.0以上が「緊急(Critical)」・7.0〜8.9が「高(High)」・4.0〜6.9が「中(Medium)」・0.1〜3.9が「低(Low)」に分類されます。CVSSスコアだけで優先度を決めると現実のリスクと乖離することがあり、CISA KEV(実際に悪用が確認されたか)とEPSS(今後30日以内に悪用される確率)を組み合わせた三角測量で優先度を判断するアプローチが推奨されています。
関連用語
同じカテゴリの用語(フレームワーク)
脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、N…
情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評…
実際に観測された攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベース。14のタクティクスと200以上のテク…
NIST(米国標準技術研究所)が発行するサイバーセキュリティの管理フレームワーク。バージョン2.0では「統治・特定・防御…
Open Web Application Security Projectが発行するWebアプリの最重要脆弱性Top 1…
Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的…