03-5468-6097

営業時間 10:00 〜 19:00 (月〜金)

今すぐ無料で見積もりを依頼
  • ホーム
  • CVSSとは?脆弱性の深刻度を評価する共通指標をわかりやすく解説

CVSSとは?脆弱性の深刻度を評価する共通指標をわかりやすく解説

CVSSの概要

ソフトウェアの脆弱性が毎日のように公表されるなかで、「この脆弱性は本当に危険なのか」「どれから対応すべきか」を判断する共通の物差しとして利用されているのがCVSS(Common Vulnerability Scoring System)です。

CVSSはFIRST(Forum of Incident Response and Security Teams)が策定している国際的なオープン標準で、脆弱性の深刻度を0.0~10.0の数値で表現します。

本記事では、セキュリティ担当者や情シス担当者向けに、CVSSの基本メトリクス、スコアの読み方、v3とv4の違い、そして企業の脆弱性管理における活用ポイントまでをわかりやすく解説します。

CVSSとは?脆弱性評価の国際共通指標

スコア評価

CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は、ソフトウェア等の脆弱性の深刻度を共通の基準で評価するためのオープン標準です。

米国の非営利団体FIRSTが策定・維持しており、NVD(米国国立脆弱性データベース)やJVN(日本の脆弱性対策情報データベース)、各製品ベンダーのセキュリティアドバイザリで広く採用されています。

CVSSの3つのメトリクスグループ

CVSSは脆弱性を多面的に評価するため、以下の3種類のメトリクスで構成されています。

メトリクス 内容
基本評価基準
(Base Metrics)		 脆弱性自体の特性を評価。時間や環境に左右されない「本質的な深刻度」を表す。NVDやJVNで一般的に公開されるスコア。
現状評価基準
(Temporal / Threat Metrics)		 攻撃コードの成熟度や修正パッチの提供状況など、時間とともに変化する要素を反映する。
環境評価基準
(Environmental Metrics)		 自組織のシステム構成・資産重要度を踏まえて独自にスコアを調整するための指標。

一般に「CVSSスコア」として目にするのは基本評価基準のスコアで、自組織での優先度判断には現状・環境評価基準まで加味して評価するのが本来の使い方です。

基本評価基準(Base Metrics)の構成要素

基本評価基準は、さらに「攻撃のしやすさ(Exploitability)」と「影響度(Impact)」に分けられます。

  • 攻撃元区分(AV):ネットワーク経由か、ローカルか、物理アクセスが必要か
  • 攻撃条件の複雑さ(AC):特殊な条件が必要か、容易に攻撃できるか
  • 必要な特権レベル(PR):攻撃に必要な権限の高さ
  • ユーザ関与の要否(UI):被害者側の操作が必要か
  • スコープ(S):影響が脆弱なコンポーネントを超えて広がるか
  • 機密性(C)/完全性(I)/可用性(A)への影響:CIA三要素への影響度

これらの組み合わせから0.0~10.0のスコアが算出され、「深刻(Critical)」「重要(High)」「警告(Medium)」「注意(Low)」の4段階の定性評価に変換されます。

CVSSスコアの読み方と深刻度レベル

バージョン比較

CVSSの数値だけを見ても直感的にわかりづらいため、FIRSTはスコアを5段階(情報を含めると)の定性的な深刻度レベルに対応付けています。

ここでは、実務でよく使う「重要度ラベル」と、運用上の対応目安を整理します。

CVSSの深刻度レベル対応表

CVSSスコア 深刻度 対応目安
9.0 ~ 10.0 緊急(Critical) 即時対応。計画外メンテを行ってでも緊急パッチ適用や緩和策を実施
7.0 ~ 8.9 重要(High) 数日~1週間以内を目安に対応。優先度を上げて計画に組み込む
4.0 ~ 6.9 警告(Medium) 月次パッチ運用など定期メンテナンスの中で対応
0.1 ~ 3.9 注意(Low) 次回の定期更新タイミングで対応
0.0 なし(None) 該当なし

あくまで一般的な目安であり、インターネットに直接公開されている資産や基幹システムの場合は、Mediumレベルであっても優先度を引き上げて対応するのが一般的です。

ベクタ文字列(Vector String)の見方

CVSSスコアと一緒に公開される「ベクタ文字列」は、各メトリクスの値を表した文字列です。

例:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

この文字列を読むと、ネットワーク経由で(AV:N)低い攻撃複雑度(AC:L)権限不要(PR:N)ユーザ操作も不要(UI:N)で、機密性・完全性・可用性のすべてに高い影響が出る、といった意味合いが瞬時にわかります。

単なる数値だけでなくベクタ文字列まで確認する習慣をつけると、同じスコアでも「ネットワーク経由で無認証から悪用可能な脆弱性」と「ローカル権限が必要な脆弱性」を区別できるようになります。

CVSS v3.1とv4.0の違い

脆弱性管理

現在広く使われているのはCVSS v3.1(2019年公開)ですが、2023年11月に最新版のCVSS v4.0が公開されました。

v4.0は、v3.1が抱えていた「実世界の脅威を反映しにくい」「影響範囲の表現が粗い」といった課題への対応として設計されています。

v3.1とv4.0の主な違い

観点 v3.1 v4.0
攻撃要件 UIのみ(必要/不要) AT(攻撃要件)を新設し、UIも段階を細分化
影響範囲の表現 Scope(U/C)で粗く表現 脆弱なシステムと「後続システム」への影響を別々に評価
スコア種別 Base/Temporal/Environmental CVSS-B/CVSS-BT/CVSS-BE/CVSS-BTEに整理
脅威情報の反映 現状評価基準でざっくり表現 攻撃コード成熟度(E)に再整理し、Threatとして明確化

v4.0では「実際に攻撃コードが出回っているか」「サプライチェーン上で後続のシステムにまで被害が広がるか」といった、現場で気になる要素をよりダイレクトに表現できるようになりました。

移行期にどう付き合うべきか

製品ベンダーや各データベースのv4.0対応は段階的に進んでおり、当面はv3.1とv4.0が併存する状況が続きます。

実務では以下のように付き合うのが現実的です。

  • 既存の脆弱性管理ツール・ルールはv3.1ベースで運用を継続
  • 新規に公表されるCVEではv4.0スコアも参照できるようにする
  • v3.1とv4.0で深刻度が大きく異なる場合は、高い方に合わせて対応判断する
  • 中長期的には、社内ポリシー・SLA・契約書の「CVSSスコア」表記をv4.0対応に更新

 

企業のCVSS活用と脆弱性管理のポイント

CVSSは非常に有用な指標ですが、「CVSSスコアだけで対応順序を決める」運用には注意が必要です。

ここでは、企業の脆弱性管理業務にCVSSを組み込む際のポイントと、CVSS以外に併用すべき情報源を整理します。

CVSS+αで優先度を判断する

脆弱性対応の優先度は、CVSSスコアに加えて、以下のような要素を総合的に考慮する必要があります。

  • EPSS(Exploit Prediction Scoring System):今後30日以内に実際に悪用される確率を予測する指標
  • KEVカタログ(Known Exploited Vulnerabilities):米CISAが管理する「実際に悪用されている脆弱性」の公式リスト
  • 資産の重要度:該当システムが基幹か、公開系か、個人情報を扱うか
  • 代替緩和策の有無:WAFやFW、機能無効化で緩和可能か
  • 攻撃コード(PoC)の公開状況:既に広く出回っているか

CVSSで絞り込んだうえで、EPSSやKEVを組み合わせて「本当に急ぐべき脆弱性」を見極めるのが近年のベストプラクティスです。

CVSSを活用した脆弱性管理のステップ

社内で脆弱性管理を運用する場合、CVSSは次のように組み込むのが一般的です。

  • 資産インベントリの整備:OS・ミドルウェア・業務アプリ・ネットワーク機器の一覧化
  • 脆弱性診断・自動スキャン:脆弱性スキャナやEDRでCVEベースの検出
  • CVSSスコアによる初期トリアージ:Critical/Highを優先候補として抽出
  • EPSS・KEVによる再評価:実際の悪用リスクを反映
  • 対応・緩和策の適用:パッチ、構成変更、WAFルールなど
  • 結果のレビューと可視化:経営層・監査向けに月次レポート化

中小企業で自社運用が難しい場合は、脆弱性診断サービスやMDR(Managed Detection and Response)サービスを利用し、CVSSと自社環境を踏まえたトリアージを外部に委託する選択肢もあります。

まとめ:CVSSは「絶対解」ではなく「共通言語」

CVSSは、脆弱性の深刻度をベンダーや組織を超えて共通の言葉で語るための国際標準であり、セキュリティ業務に不可欠なツールです。

一方で、CVSSスコアだけをもとに対応優先度を決めてしまうと、「スコアは高いがほぼ悪用されない脆弱性」に時間を取られ、「スコアはMediumでも実際には頻繁に悪用されている脆弱性」を見落とすリスクがあります。

CVSSを共通言語としつつ、EPSS・KEV・資産重要度・自社の運用環境を組み合わせた多面的な脆弱性管理を進めることが、これからのセキュリティ運用のスタンダードになっていきます。

c-compe.comでは、脆弱性管理や検知・対応に役立つEDR・脆弱性診断・MDRなど、法人向けセキュリティ製品を複数ベンダー横並びで比較できます。自社に合ったサービスの検討時は、ぜひお気軽にお問い合わせください。

 

お問合せはこちら➡

 

新着記事

SASE(サシー)とは?クラウド時代の新しいVPN「VPN as a Service」を徹底解説
APIキーが漏れる本当の理由|中小企業が今すぐやるべき”脱.env”とSecret Manager入門
Check Point Harmony SASE|世界最大級ベンダーが提供するハイブリッド型クラウドSASE|機能・構成例・ライセンス解説
ネットワークセキュリティ徹底比較|UTM・SASE・ZTNA・SWG・FWaaSの違いとおすすめ製品
自治体・地方公共団体のサイバーセキュリティ|LGWAN・三層分離の見直しとガバメントクラウド移行期の実務対応

人気記事

ウイルスバスタービジネスセキュリティサービス 料金、機能解説
Trellix (旧Mcafee)Protect 料金、機能解説
Sophos Endpoint(旧称Intercept x)料金、機能解説
セキュリオ 料金、機能解説
トレンドマイクロの法人向け製品をわかりやすく比較解説

タグ

エンドポイントセキュリティ Sophos メールセキュリティ ネットワークセキュリティ セキュリティ教育 バックアップ 多要素認証 トレンドマイクロ ゼロトラスト UTM ID管理 モバイルセキュリティ 端末管理 クラウドセキュリティ MOTEX セキュリティ対策 アイキューブドシステムズ