CVSSとは
(点数の読み方・誤用)
CVSSとは Common Vulnerability Scoring System の略で、脆弱性の特徴と深刻度を共通のルールで表すためのフレームワークです。
FIRSTのCVSS v4.0 User Guideでは、CVSSを「ソフトウェア脆弱性の特徴と深刻度を伝えるためのオープンなフレームワーク」と説明しています。
CVSSの点数は何を意味する?
CVSSの基本スコアは 0.0〜10.0 で表され、一般に次のようなレンジで扱われます。
FIRSTのv4.0 User Guideでも、このレンジは維持されています。
ただし、点数だけ見て優先度を決めるのは危険です。
CVSS v4.0では、Base、Threat、Environmental、Supplemental の4つのメトリクス群があり、特に Base(CVSS-B)は脆弱性そのものの深刻度であって、リスクそのものではない とFIRSTが明確に説明しています。
Threat や Environmental を加味して初めて、自組織に近い判断に寄せられます。
実務での読み方(まずここだけ見る)
サプライヤー実務では、CVSSを次の順で見るとブレにくくなります。
1. どのCVSSか
CVSS-B(Baseだけ)なのか、Threat/Environmentalを含むのかを確認する。
FIRSTは v4.0 で CVSS-B / CVSS-BT / CVSS-BE / CVSS-BTE という表記を推奨しています。
2. ベクトル(条件)
点数だけでなく、攻撃ベクトルや権限、ユーザー操作、影響範囲などの条件を見る。
点数が高くても、自社製品でその条件が成立しなければ優先度は下がります。
3. 自社の文脈
対象版数、外部IFの有無、到達性、設定条件を重ねる。
ここはCVSSの外側にある判断で、PSIRTやVEXの領域です。
よくある誤用
現場で起きがちなCVSSの誤った解釈です。
-
誤用19.8だから最優先 CVSS-Bは“深刻度”であり、“あなたの製品でのリスク”ではありません。FIRSTも、Base Score 単独をリスク評価として使うべきではないと説明しています。
-
誤用2スコアだけ見てベクトルを見ない 同じ点数でも、攻撃条件が違えば実務上の優先度は変わります。「点数よりベクトル」が基本です。
-
誤用3CVSSだけでOEM回答を書く OEM照会では、対象版数、構成、到達性、前提条件まで必要です。CVSSは材料の1つであって、回答そのものではありません。
FAQ:CVSSとは
脆弱性の特徴と深刻度を共通のルールで表すフレームワークです。FIRSTが管理しています。
いいえ。CVSS-B は脆弱性の深刻度であり、リスクではありません。Threat や Environmental、さらに自社の状況を加味する必要があります。
そうとは限りません。対象版数、到達性、設定条件など、自社製品側の文脈で優先度は変わります。
Base だけか、Threat や Environmental を含むかの違いです。どのメトリクス群を使った数値か明示するための表記です。
脆弱性トリアージの判断基準、整理しませんか?
CVSSやEPSS、KEVといった指標を「自社の製品構成・外部IF・OEM要求」に合わせてどう評価するか、トリアージ基準として整理したい方はご相談ください。