脆弱性評価システムを作る〜CVSSとは〜

週間・脆弱性評価システムを作ろう〜CVSSとは〜

前回に引き続いて脆弱性情報についてです。今回はCVSSについてまとめました。
ソースは引き続きIPAとChatGPTとなります。

CVSS ( Common Vulnerability Scoring System) とは

共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。
その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
CVSSでは次の3つの基準で脆弱性を評価します。

CVSSの目的

標準化された評価

  ベンダーごとに異なっていた脆弱性の深刻度表現を標準化し、共通の尺度で評価します。

定量的な評価

  脆弱性の深刻度を0.0から10.0の数値で定量的に表現し、比較可能にします。

共通の言語

  セキュリティ担当者、ベンダー、ユーザーなどが脆弱性について共通の言葉で議論するための基盤を提供します。

評価基準

CVSSは、以下の3つの評価基準を組み合わせて総合的なスコアを算出します。

基本評価基準 (Base Metrics)

 脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、「機密性( Confidentiality Impact )」、「完全性( Integrity Impact )」、「可用性( Availability Impact )」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、  CVSS基本値( Base Score )を算出します。  この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。
 ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。

現状評価基準(Temporal Metrics)

 脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。
 この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。
 ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。

環境評価基準 (Environmental Metrics)

 製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。
 この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。
 製品利用者が脆弱性への対応を決めるために評価する基準です。

CVSSに関する詳細な情報はIPAサイトに載っていますので、そちらを参照ください。
IPA 共通脆弱性評価システムCVSS概説

CVSSのバージョン

CVSSにはバージョン2.0、バージョン3.1、バージョン4.0が存在します。2025年10月時点ではv3.1が一番メジャーなバージョンといってよいと思います。
一方、v4.0は2023年11月1日に正式にリリースされ、2024年半ばからCVSS v4.0のスコアが一部のCVEに追加され、公式にサポートされているそうです。
実際にNVDのRest APIで直近1ヶ月に更新されたCVEを取得するとv3.1のスコアとともにv4.0のスコアが追加されている情報もありました。
なお、v2.0に関してはすでにサポートが終了しており、過去に公開されたCVE情報でv3.1にアップデートされていない情報が残っているのみとなっています。

CVSS v4.0の違い

CVSS v4.0は、従来のv3.1から大幅に改善され、以下のような新機能が追加されているようです。

Base Metricsの粒度向上

攻撃要件(Attack Requirements)やユーザーインタラクションの詳細な分類(Passive/Active)など、より詳細なスコアリングが可能になった。

Scopeメトリックの廃止

Scopeの代わりに、脆弱なシステム(VC, VI, VA)と後続システム(SC, SI, SA)の影響を個別に評価するようになった。

SSupplemental Metric Groupの導入

安全性、回復力、攻撃の自動化可能性など、スコアには影響しないがリスク評価に役立つ追加情報を提供する。

IPA 共通脆弱性評価システムCVSS概説

resp = requests.get("https://example.com/api") if resp.status_code == 429: retry_after = int(resp.headers.get("Retry-After", 10)) print(f"Too many requests. Retrying after {retry_after} seconds.") time.sleep(retry_after)

コメント

コメントを投稿

このブログの人気の投稿

【python】PySide6 におけるウィンドウとかダイアログボックス内のアイテムの自動調整

PySide6 におけるウィンドウとかダイアログボックス内のアイテムの自動調整 PySide6などに同封されるDesignerでWindowやDialogを作成する際、verticalLayoutWidgetをまず画面いっぱいに配置して、その中にhrizonalLayoutWidgetを配置して、、、とGUIを作成していきます。 ただ、Designer上でverticalLayoutWidgetの設定を「SetDefaultConstraint」にする方法がわからず、毎回 GitHub Copilotに修正してもらっていたのですが、現在 GitHub Copilotの1ヶ月間で使用できる無料の範囲を使い切ってしまったので、ChatGPTに質問してみました。 質問内容はただ単に、ダイアログボックスとかの大きさにあわせてverticalLayoutWidgetを動的にサイズ変更したい、という至ってシンプルな内容です。 #before <property name="sizeConstraint"> <enum>QLayout::SizeConstraint::SetFixedSize</enum> </property> #after <property name="sizeConstraint"> <enum>QLayout::SizeConstraint::SetDefaultConstraint</enum> </property> 本当はDesignerから変更する方法がわかれば手っ取り早いのですが、今はこれで妥協しておきます。
続きを読む

dict型オブジェクトを内包するlistオブジェクトのコピー

dict型オブジェクトを内包するlistオブジェクトのコピー(代入)をしたくて、当初は以下の通り行っていたが、これだと値ではなく、参照渡しがされてしまってい るようで、 work_driverPaths を変更すると driverPaths の方にもその結果が反映されてしまった。 self.work_driverPaths = self.driverPaths そのため、以下の通り copy ライブラリの deepcopy を使用して解決。 self.work_driverPaths = copy.deepcopy(self.driverPaths) コパイロットぴ◯ょん君の回答 list型とdict型を併用した場合に参照渡しが発生する要因 = で代入するときの動作だね。代入した側のオブジェクトとオリジナルのオブジェクトがリンクすることについて気づいたかな? 実際、 = は 浅いコピー(shallow copy) を作るだけなので、両方のオブジェクトが同じ参照を共有してしまうんだ。 deepcopyの機能について 深いコピー : オリジナルのオブジェクトとそのコピーが完全に独立して動作する。 再帰的処理 : 内部のネストされたオブジェクトもすべてコピーする。 安全性 : オリジナルを変更してもコピーには影響がない。
続きを読む