CVSSとは?脆弱性評価の公平な基準を理解しよう!

IT用語を分かりやすく噛み砕いて、初心者でもスムーズに仕事の会話に参加できるように解説します。このIT用語辞典の目的は「会話についていく」であり、情報レベルは基礎中の基礎の会話についていけるレベルです。これさえ見れば仕事の会話は怖くない! IT用語辞典

ざっくりと

  • ソフトウェアの脆弱性を評価する基準
  • 異なるソフトウェアでも比較できる
  • 機密性、完全性、可用性の三つの評価基準あり
CVSS (Common Vulnerability Scoring System)=共通脆弱性評価システム

CVSSとは、脆弱性の公平な評価基準です。

概要説明

CVSSとは、ソフトウェアやプログラムの脆弱性を評価する基準である。なぜならば、脆弱性の危険度や重要度はソフトウェアによって異なり評価が難しかったからだ。

例えば、あるソフトウェアは脆弱性が高くても、他のソフトウェアは低いかもしれない。そして、これらの違いを平等に評価するのがCVSSだ。

つまり、CVSSは全てのソフトウェアの脆弱性を公平に評価する基準だ。だから、どの程度の脆弱性かを把握するのに役立つ。

職業職種

システム管理者

システム管理者は、CVSSを使って脆弱性を評価する。なぜなら、安全な情報システムを運用するためだ。例えば、新たな脆弱性が発見されたとき、CVSSを使ってその重要度を評価し、対策を立てる。

セキュリティエンジニア

セキュリティエンジニアは、CVSSを使ってシステムの脆弱性を分析する。なぜなら、その結果をもとにシステムの強化を行うためだ。例えば、CVSSの評価基準に基づいてシステムを評価し、必要なセキュリティ対策を提案する。

ITコンサルタント

ITコンサルタントは、クライアント企業に対してCVSSを使って脆弱性を評価する提案をする。なぜなら、CVSSは客観的な評価が可能で、その結果をもとにセキュリティ強化の計画を立てることができるからだ。例えば、システムに存在する脆弱性をCVSSで評価し、その結果に基づく改善策を提案する。

CVSSの名前の由来は、英語の”Common Vulnerability Scoring System”の頭文字を取ったものです。

代表例

情報処理推進機構(IPA)

IPAは、CVSSの基準を設定したところだ。なぜなら、ソフトウェアやプログラムの脆弱性を公正に評価する必要があり、そのためにCVSSが開発されたからだ。例えば、色々なソフトウェアの脆弱性を一覧表で見ることができる。

マイクロソフト

マイクロソフトは、CVSSを利用して自社のソフトウェアの脆弱性を評価する企業だ。なぜなら、自社製品の安全性を客に示すためにCVSSのスコアを公開しているからだ。例えば、Windowsの脆弱性がある場合、それをCVSSスコアで表現する。

シマンテック

シマンテックは、セキュリティソフトを開発しており、その評価にCVSSを使う。なぜなら、客に対してそのソフトウェアの信頼性を示すためにCVSSのスコアを用いているからだ。例えば、自社製品のセキュリティレベルを証明するためにCVSSスコアを表示する。

手順例

脆弱性を調査

最初に、脆弱性を調査する。なぜなら、CVSSは脆弱性の評価に使われるからだ。例えば、システムの安全性を確認するために脆弱性を見つけ出す。

脆弱性の評価

次に、脆弱性の機密性、完全性、可用性を評価する。なぜなら、これらの項目がCVSSの基本評価基準になるからだ。例えば、情報が漏れる可能性があるかどうかを調査する。

深刻度を評価

その後、脆弱性の現状の深刻度を評価する。なぜなら、これがCVSSの現状評価基準だからだ。例えば、問題がどれだけ大きいかを見積もる。

製品の脆弱性

さらに、製品に対する脆弱性を評価する。なぜなら、これがCVSSの環境評価基準だからだ。例えば、特定のハードウェアが脆弱性を持っているかを調査する。

CVSSスコア計算

最後に、それらの評価からCVSSスコアを計算する。なぜなら、これが脆弱性の程度を表す指標だからだ。例えば、それぞれの評価を元に数値化してスコアを得る。

類似語

セキュリティ評価

セキュリティ評価は、CVSSと似た役割を持つ言葉だ。なぜなら、それぞれがソフトウェアやシステムの安全性を数値で表すからだ。例えば、脆弱性を見つけ出してその重大性を数値化する。

脆弱性スコア

脆弱性スコアも、CVSSと同じように脆弱性の程度を示す言葉だ。なぜなら、両者ともに脆弱性の重大性を数値で表現するからだ。例えば、高いスコアは重大な脆弱性を表す。

リスク評価

リスク評価は、CVSSと同じくシステムやソフトウェアの脆弱性を評価する言葉だ。なぜなら、どちらも危険度を判断する基準を提供するからだ。例えば、脆弱性によって生じる可能性のあるリスクを数値化する。

反対語

完全なセキュリティ

完全なセキュリティは、CVSSの反対語である。なぜなら、CVSSは脆弱性の評価をするシステムだけど、完全なセキュリティは脆弱性がない状態を表すからだ。例えば銀行のセキュリティシステムは、完全なセキュリティを目指す。

不均一な評価

不均一な評価は、CVSSの反対語である。なぜなら、CVSSは全てのソフトウェアやプログラムの脆弱性を均等に評価するためのシステムだけど、不均一な評価はそれぞれ異なる基準で評価することを示すからだ。例えば同じバグでも、ソフトウェアごとに危険度を判断することが不均一な評価だ。

独断的な判断

独断的な判断は、CVSSの反対語である。なぜなら、CVSSは複数の基準を元に評価する一方で、独断的な判断は一人の意見や感覚に基づく評価をするからだ。例えば「このバグは危険そうだから修正しよう」という判断が、独断的な判断である。

会話例

学校の情報科学の授業で

Q.「先生、CVSSって何ですか?」
A.「CVSSは、ソフトウェアの脆弱性を評価するための共通の基準だよ。」

セキュリティ会社での面接で

Q.「あなたはどのように脆弱性を評価しますか?」
A.「私はCVSSを用いて、脆弱性の危険度を均一に評価します。」

プログラム開発チームのミーティングで

Q.「このバグはどれくらい重要ですか?」
A.「CVSSの基準に基づくと、このバグの重要度は中程度です。」

注意点

CVSSを使用する時の注意点は細部まで理解することである。なぜならば、CVSSの評価は「機密性」「完全性」「可用性」といった重要な基準を含む複雑なものだからだ。

例えば、これらの基準を理解しないと、適切な評価はできない。そして、誤った評価は、セキュリティのリスクを増大させる可能性がある。だから詳細をしっかり理解しよう。

CVSSと脆弱性評価は、間違えやすいので注意しましょう。CVSSは脆弱性評価の基準であり、脆弱性評価は脆弱性の程度を決める行為です。

当IT用語辞典の目的は「会話についていく」であり、情報レベルは基礎中の基礎で、どこよりもわかりやすくなるように、例えを入れたりしてますが、逆にわかりにくかったらごめんなさい。さらに正確性、具体性、最新性を求めてる方は、もっとググってください。
YouTubeのチャンネル登録はこちら!!
ポチッと応援よろしくね!!
開発・運営ランキング にほんブログ村 IT技術ブログ IT技術情報へ
記事を書いてる人
デプロイ太郎
デプロイ太郎

IT業界の下層に長くいすぎたのかも知れないおじさんです。プロフィールまで見てくれてるのなら、ブログのブックマークとYouTubeのチャンネル登録とX(旧Twitter)のフォローお願いします。

ネットの裏側を見せるYouTube運営中!!

デプロイ太郎のSNSを見てみる!!
IT用語辞典
デプロイ太郎のSNSを見てみる!!
ITkagyo

コメント

タイトルとURLをコピーしました