HOME >> 情報セキュリティ >> 脆弱性対策 >> 脆弱性の深刻度評価の新バージョンCVSS v2への移行について

脆弱性の深刻度評価の新バージョンCVSS v2について
CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)

最終更新日 2009年1月26日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(東京都文京区、理事長:藤原 武平太、略称:IPA)は、ソフトウェア製品の脆弱性(ソフトウェア等におけるセキュリティ上の弱点)の深刻度評価に採用している共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を、2007年8月20日から新バージョンのCVSS v2へ移行しました。

 IPAは、ソフトウェア製品の脆弱性の深刻度評価を、FIRST(*1)が推進している、共通脆弱性評価システムCVSSを採用しています。

 CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法で、特定のベンダーに依存しない共通の評価方法として、脆弱性の深刻さを、製品利用者やSI事業者、製品開発者などが、同一の基準の下で定量的に比較できるものです。

 IPAでは、脆弱性関連情報の届出受付において、届出られた脆弱性をCVSSを適用して深刻度評価を行っており、脆弱性対策情報の公表ページ(*2)、および、脆弱性対策情報データベースJVN iPedia(*3)でCVSSによる評価結果を公表しています。

 この深刻度評価を、2007年8月20日から新バージョンのCVSS v2へ移行しました。CVSS v2の概説は次のURLを参照下さい。

1. CVSS基本値による深刻度のレベル分けについて

 CVSS基本値を基に、次の深刻度に分けて表示しています。

深刻度 CVSS基本値 脆弱性に対して想定される脅威
レベルIII
(危険)
7.0〜10.0 ・リモートからシステムを完全に制御されるような脅威
・大部分の情報が漏えいするような脅威
・大部分の情報が改ざんされるような脅威
・例えば、全てのシステムが停止するようなサービス運用妨害(DoS)、OSコマンド・インジェクション、SQLインジェクション、バッファオーバフローによる任意の命令実行など
レベルII
(警告)
4.0〜6.9 ・一部の情報が漏えいするような脅威
・一部の情報が改ざんされるような脅威
・サービス停止に繋がるような脅威
・例えば、クロスサイト・スクリプティング、一部の情報が漏えいするようなディレクトリ・トラバーサル、一部のシステムが停止するようなサービス運用妨害(DoS)など
・その他、レベルIIIに該当するが再現性が低いもの
レベルI
(注意)
0.0〜3.9 ・攻撃するために複雑な条件を必要とする脅威
・その他、レベルIIに該当するが再現性が低いもの

注)CVSS基本値は、脆弱性そのものの特性を同一の基準の下で数値化したものです。各組織の脆弱性への対応は、CVSS基本値に加え、CVSS現状値(攻撃コードの出現有無、対策情報の適用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)を加味して、製品利用者自身が総合的な評価を行う必要があります。

2. CVSS計算ツールについて

 JVN iPediaのCVSS計算ツール(図1)を用い、CVSS基本値に加え、製品利用者自身が脆弱性への対応を決めるためのCVSS現状値(攻撃コードの出現有無、対策情報の適用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)の計算が可能です。

CVSS計算ツールは次のURLで使用下さい。

図1.JVN iPediaのCVSS計算ツール

3. CVSS v2の改善点

 脆弱性の深刻度の分布が、レベルIIを中心に分散した形になりました

 2005年6月に公開されたCVSS v1を各組織が実際の脆弱性へ適用し2年間運用してみると、脆弱性そのものの特性を評価するCVSS基本値(0.0から10.0の範囲に算出される)が特定の値に集中してしまう、また、低めの値を中心に分散してしまう等の課題が報告されていました。

 そこで、CVSS v2では、CVSS基本評価基準の全ての組み合わせから算出されるCVSS基本値の出現頻度が、CVSS基本値の中央を中心に分散するように、各評価項目の値や算出式が改善されました。

 図2は、2007年8月20日までに脆弱性対策情報ポータルサイトJVN(*4)で脆弱性対策情報を公表した201件について、CVSS v1とCVSS v2で評価した脆弱性の深刻度分布です。

 実際の脆弱性の深刻度分布も、深刻度の評価結果がレベルIIを中心に分散した形となり、CVSS利用者が脆弱性への対応の緊急度を、より迅速に意思決定しやすくなりました。

図2.JVNで公表した.脆弱性の深刻度分布

脚注

(*1):Forum of Incident Response and Security Teams。コンピュータセキュリティインシデント対応チームフォーラム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをするCSIRT(Computer Security Incident Response Team)の連合体。http://www.first.org/

(*2)http://www.ipa.go.jp/security/vuln/documents/index.html

(*3):日本向けの脆弱性対策情報データベースを目指し、JVNで公表した約450件に加え、米国NIST(National Institute of Standard and Technology: 米国国立標準技術研究所)が運営するNVD(National Vulnerability Database:国立脆弱性データベース)から情報を収集・翻訳し、4月25日に公開を開始しました。公開開始以降、毎月100件程度の情報を新規に登録し、現在、3,986件の累計登録件数となっています。各脆弱性の概要、CVSSによる深刻度、影響を受けるシステム、想定される影響、対策、ベンダ情報などが判りやすく参照できます。また、キーワード、製品別、ID、日付、CVSS による深刻度などから目的の脆弱性対策情報を容易に検索することができます。http://jvndb.jvn.jp/

(*4):Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。http://jvn.jp/

プレスリリースのダウンロード

参考情報

(旧版)

本件に関するお問い合わせ先

IPA セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

更新履歴

2009年1月26日 参考情報を追加
2008年2月4日 CVSS計算機について追記。
2007年8月20日 掲載。