CVSSは脆弱性の深刻度を共通スコアで判断する指標です。仕組み・役割・使いどころを整理し、JVNや脆弱性検査との違いを含めてSG試験の判断ポイントを解説します。

sg security_general threat_vulnerability risk_assessment sg-security-overview

まず結論

  • CVSS(共通脆弱性評価システム)は、脆弱性の深刻度を0.0〜10.0で数値化する評価指標
  • 対策ではなく「優先度判断のための目安」
  • SG試験では「評価か対策か」で切る

直感的な説明

脆弱性は「危ない」と言っても、人によって感じ方が違います。

そこでCVSSは、
👉 全員が同じ基準で危険度を判断できる“点数表”

たとえば:

  • 誰でも攻撃できる → 点数が高い
  • 条件が厳しい → 点数が低い

👉 どれを優先して対策するかを決めるために使う

定義・仕組み

CVSSは、脆弱性の深刻度を 3つの観点 で評価します。

① 基本評価基準(Base Metrics)

  • 脆弱性そのものの危険度(固定)

例:

  • 攻撃のしやすさ
  • 認証の必要性
  • CIAへの影響

👉 本質的な危険度

② 現状評価基準(Temporal Metrics)

  • 現時点での危険度

例:

  • 攻撃コードの有無
  • パッチの有無

👉 今どれくらい危険か

③ 環境評価基準(Environmental Metrics)

  • 利用環境による影響

例:

  • 重要システムか
  • 利用範囲

👉 自分の環境ではどれくらい危険か

👉 最終的に
0.0〜10.0で表現(高いほど危険)

どんな場面で使う?

✔ 使う場面

  • 脆弱性情報(CVE)を評価
  • パッチ適用の優先順位決定
  • リスク判断の材料

👉 「どれから対応するか」を決める

✔ 注意点(重要)

  • CVSSだけで判断しない

👉 同じスコアでも

  • 本番環境 → 影響大
  • テスト環境 → 影響小

👉 最終判断は現場

よくある誤解・混同(ここが試験)

① JVNとの違い

  • JVN:情報を提供
  • CVSS:評価する

👉 情報源 vs 評価指標

② 脆弱性検査との違い

  • 検査:弱点を見つける
  • CVSS:危険度を決める

👉 発見 vs 評価

③ 最重要ひっかけ

❌ CVSSで対策を実施する
⭕ CVSSは優先度判断に使う

👉 対策ではない

④ スコアの誤解

❌ スコアが高い=必ず危険
⭕ 環境によって影響は変わる

⑤ 数値の誤解

❌ 0〜100
0.0〜10.0

⑥ 評価基準の誤解

❌ 2つ
3つ(基本・現状・環境)

まとめ(試験直前用)

  • CVSS=脆弱性の深刻度を数値化する指標
  • スコア:0.0〜10.0
  • 評価基準:基本・現状・環境

切り分けルール(最重要)

  • 「情報を提供」→ JVN
  • 「危険度を評価」→ CVSS
  • 「弱点を見つける」→ 検査・テスト

👉 「評価かどうか」で切る

最後に一言

👉 CVSSは「答え」ではなく「判断材料」

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る