最終更新日:2026年5月20日
sg sg-security-overview threat_vulnerability risk_assessment
まず結論
- CVSS(共通脆弱性評価システム)は、脆弱性の深刻度を0.0〜10.0で数値化する評価指標
- 対策ではなく「優先度判断のための目安」
- SG試験では「評価か対策か」と「基本・現状・環境のどれか」で切る
試験で先に覚える3分類
| 評価基準 | 見るもの | 変化するか | キーワード |
|---|---|---|---|
| 基本評価基準 | 脆弱性そのものの性質 | 時間でも利用環境でも基本変わらない | 攻撃しやすさ、影響範囲、CIAへの影響 |
| 現状評価基準 | 今その脆弱性がどれくらい危ないか | 時間の経過で変わる | 攻撃コードの有無、対策の有無 |
| 環境評価基準 | 自組織・利用環境での影響 | 利用者・環境ごとに変わる | 重要システムか、代替策があるか |
👉 「時間で変わる」なら現状評価基準、「利用環境で変わる」なら環境評価基準
直感的な説明
脆弱性は「危ない」と言っても、人によって感じ方が違います。
そこでCVSSは、
👉 全員が同じ基準で危険度を判断できる“点数表”
たとえば:
- 誰でも攻撃できる → 点数が高い
- 条件が厳しい → 点数が低い
👉 どれを優先して対策するかを決めるために使う
定義・仕組み
公式: JVN iPedia(脆弱性対策情報) CVSSは、脆弱性の深刻度を 3つの観点 で評価します。
① 基本評価基準(Base Metrics)
- 脆弱性そのものの危険度(固定)
例:
- 攻撃のしやすさ
- 認証の必要性
- CIAへの影響
👉 本質的な危険度
ポイント:
- 攻撃条件や影響度など、脆弱性そのものに近い性質を見る
- 時間が経っても、製品利用者が変わっても、基本的には同じ評価になる
試験では、
「評価結果は時間の経過で変化しない」
という説明なら、基本評価基準を疑います。
② 現状評価基準(Temporal Metrics)
- 現時点での危険度
例:
- 攻撃コードの有無
- パッチの有無
- 回避策・対策情報の有無
👉 今どれくらい危険か
ポイント:
- 時間の経過で評価が変わる
- 攻撃コードが公開されたら危険度は上がりやすい
- パッチや回避策が出たら危険度は下がりやすい
試験では、
「攻撃コードの出現」「利用可能な対策」「時間の経過で変化」
が出たら、現状評価基準です。
③ 環境評価基準(Environmental Metrics)
- 利用環境による影響
例:
- 重要システムか
- 利用範囲
- 自組織で重視する機密性・完全性・可用性
👉 自分の環境ではどれくらい危険か
ポイント:
- 同じ脆弱性でも、組織やシステムによって評価が変わる
- 本番の重要システムなら影響が大きい
- 使っていない機能の脆弱性なら影響が小さいこともある
試験では、
「製品利用者ごとに評価結果が異なる」「利用環境に応じる」
が出たら、環境評価基準です。
👉 最終的に
0.0〜10.0で表現(高いほど危険)
どんな場面で使う?
✔ 使う場面
- 脆弱性情報(CVE)を評価
- パッチ適用の優先順位決定
- リスク判断の材料
👉 「どれから対応するか」を決める
✔ 注意点(重要)
- CVSSだけで判断しない
👉 同じスコアでも
- 本番環境 → 影響大
- テスト環境 → 影響小
👉 最終判断は現場
よくある誤解・混同
① JVNとの違い
- JVN:情報を提供
- CVSS:評価する
👉 情報源 vs 評価指標
② 脆弱性検査との違い
- 検査:弱点を見つける
- CVSS:危険度を決める
👉 発見 vs 評価
③ 最重要ひっかけ
❌ CVSSで対策を実施する
⭕ CVSSは優先度判断に使う
👉 対策ではない
④ スコアの誤解
❌ スコアが高い=必ず危険
⭕ 環境によって影響は変わる
⑤ 数値の誤解
❌ 0〜100
⭕ 0.0〜10.0
⑥ 評価基準の誤解
❌ 2つ
⭕ 3つ(基本・現状・環境)
⑦ 3つの評価基準の切り分け
❌ 攻撃コードやパッチの有無で変わる → 基本評価基準
⭕ 攻撃コードやパッチの有無で変わる → 現状評価基準
❌ 利用環境によらず同じ → 環境評価基準
⭕ 利用環境ごとに変わる → 環境評価基準
❌ 製品利用者ごとに異なる → 基本評価基準
⭕ 製品利用者によらず、脆弱性そのものを見る → 基本評価基準
👉 時間=現状、環境=環境、脆弱性そのもの=基本
確認問題(SG試験対策)
CVSS v3について、基本評価基準、現状評価基準、環境評価基準のうち、現状評価基準の特徴はどれか。
- ア. 攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化する。
- イ. 脆弱性及び想定される脅威に応じ、製品利用者ごとに評価結果は異なる。
- ウ. 製品利用者が脆弱性への対応を決めるための評価に用いる基準であり、評価結果は時間の経過で変化しない。
- エ. 評価結果は利用環境によらず同じで、かつ、時間の経過でも変化しない。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:正解です。攻撃コードの公開状況や対策の有無など、時間とともに変わる状態を見るので、現状評価基準です。
- イ:利用者や利用環境ごとに結果が異なるという説明なので、環境評価基準に近いです。
- ウ:時間の経過で変化しないという点は、現状評価基準ではありません。基本評価基準の説明に近いです。
- エ:利用環境でも時間でも変化しないという説明は、現状評価基準でも環境評価基準でもありません。
👉 判断ポイント
現状評価基準は「今どうか」を見るので、攻撃コード・パッチ・回避策の状況によって時間とともに変わります。
まとめ(試験直前用)
- CVSS=脆弱性の深刻度を数値化する指標
- スコア:0.0〜10.0
- 評価基準:基本・現状・環境
- 基本:脆弱性そのもの。時間や利用環境では基本変わらない
- 現状:攻撃コードや対策状況。時間で変わる
- 環境:自組織での影響。利用環境ごとに変わる
切り分けルール(最重要)
- 「情報を提供」→ JVN
- 「危険度を評価」→ CVSS
- 「弱点を見つける」→ 検査・テスト
- 「時間の経過で変わる」→ 現状評価基準
- 「利用環境ごとに変わる」→ 環境評価基準
- 「脆弱性そのものを見る」→ 基本評価基準
👉 「評価かどうか」で切る
最後に一言
👉 CVSSは「答え」ではなく「判断材料」