Skip to content
Latchkey

CVSSスコアリングとは?脆弱性の深刻さを評価する

CVSS(Common Vulnerability Scoring System)は脆弱性の深刻さを0から10のスケールで評価し、どの欠陥を先に修正するかを優先順位付けする一貫した方法をチームに与えます。

scannerが数十の脆弱性を報告するとき、トリアージする方法が必要です。CVSSがそれを提供します。欠陥がどう悪用されるか、何を侵害できるかといった特性から導かれる0から10の標準化されたスコアです。あなたのリスクの完璧な尺度ではありませんが、誰もが理解できる共通のベースラインです。

重大度の帯域

  • 0.0: なし。
  • 0.1〜3.9: 低。
  • 4.0〜6.9: 中。
  • 7.0〜8.9: 高。9.0〜10.0: 緊急。

スコアを構成するもの

base scoreはattack vector(networkかlocalか)、attack complexity、privileges required、user interaction、そして機密性・完全性・可用性への影響といったメトリクスを組み合わせます。悪用可能性と影響が高いほどスコアが上がります。

base、temporal、environmental

base scoreは欠陥に固有のものです。temporalメトリクスはexploitが存在するかパッチが出ているかに応じて調整します。environmentalメトリクスはスコアをあなた自身のデプロイメントに合わせられます。ほとんどのツールはbase scoreを表示し、他はあなたの文脈のためにそれを精緻化します。

優先順位付けに使う

一般的なポリシーは、修正のあるcriticalとhighのfindingをブロックし、mediumとlowを追跡することです。しかしCVSS単独では大雑把です。決して到達しないライブラリの「critical」は、玄関先の「medium」より重要でないかもしれません。reachabilityと露出と組み合わせましょう。

CI gateの中のCVSS

scannerはCVSSスコアをfindingに付与するため、CI gateは例えば修正可能なcriticalでbuildを失敗させつつ、低い重大度の問題を通過させられます。thresholdを調整することで、gateがノイジーではなく意味のあるものに保たれます。

重要なポイント

  • CVSSは脆弱性の深刻さを標準的な帯域で0から10まで評価します。
  • base scoreは悪用可能性と影響を反映し、temporalとenvironmentalがそれを精緻化します。
  • 優先順位付けに使いつつ、実際のリスクにはreachabilityと組み合わせましょう。

関連ガイド