基礎
- 脆弱性の深刻度を表す指標
- CVSSv2 と CVSSv3
- 仮想化やサンドボックス化などが進んできていることから、v3 ではコンポーネント単位で評価が行えるように仕様が変更
- 機密性、完全性への影響について
基準
基本評価基準
- 脆弱性そのものの特性を評価する基準
- 機密性、完全性、可用性に対する影響を評価し、 CVSS 基本値を算出
現状評価基準
- 脆弱性の現状の深刻度を評価する基準
- 攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS 現状値を算出
環境評価基準
- 製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準
- 攻撃による被害の大きさや対象製品の使用状況といった基準で評価し、CVSS 環境値を算出
CVSSv2
- 攻撃対象となるホストやシステムにおいての
脆弱性による深刻度 を評価
- 攻撃元区分 (AV:Access Vector)
- 脆弱性のあるシステムをどこから攻撃可能であるかを評価
- ローカル(L) / 隣接(A) / ネットワーク(N)
- 攻撃条件の複雑さ (AC:Access Complexity)
- 脆弱性のあるシステムを攻撃する際に必要な条件の複雑さを評価
- 高(H) / 中(M) / 低(L)
- 攻撃前の認証要否 (Au: Authentication)
- 脆弱性を攻撃するために対象システムの認証が必要であるかどうかを評価
- 複数(M) / 単一(S) / 不要(N)
- 機密性への影響 (情報漏えいの可能性、 C: Confidentiality Impact )
- 脆弱性を攻撃された際に、対象システム内の機密情報が漏えいする可能性を評価
- なし(N) / 部分的(P) / 全面的(C)
- 完全性への影響 (情報改ざんの可能性、 I: Integrity Impact )
- 脆弱性を攻撃された際に、対象システム内の情報が改ざんされる可能性を評価
- なし(N) / 部分的(P) / 全面的(C)
- 可用性への影響 (業務停止の可能性、 A: Availability Impact )
- 脆弱性を攻撃された際に、対象システム内の業務が遅延・停止する可能性を評価
- なし(N) / 部分的(P) / 全面的(C)
CVSSv3
- 攻撃元区分(AV:Attack Vector)
- 脆弱性のあるコンポーネントをどこから攻撃可能であるかを評価
- 物理(P) / ローカル(L) / 隣接(A) / ネットワーク(N)
- 攻撃条件の複雑さ (AC:Access Complexity)
- 脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを評価
- 高(H) / 低(L)
- 必要な特権レベル(PR:Privileges Required)
- 脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを評価
- 高(H) / 低(L) / 不要(N)
- ユーザ関与レベル(UI:User Interaction)
- 脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを評価
- 要(R) / 不要(N)
- スコープ(S:Scope)
- 脆弱性のあるコンポーネントへの攻撃による影響範囲を評価
- 変更なし(U) / 変更あり(C)
- 機密性への影響 (情報漏えいの可能性、C: Confidentiality Impact )
- 脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を評価
- なし(N) / 低(L) / 高(H)
- 完全性への影響 (情報改ざんの可能性、 I: Integrity Impact )
- 脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を評価
- なし(N) / 低(L) / 高(H)
- 可用性への影響 (業務停止の可能性、 A: Availability Impact )
- 脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を評価
- なし(N) / 低(L) / 高(H)