「CVSS 4.0」が正式発表 ～共通脆弱性評価システムの最新バージョン

FIRSTのアナウンス

　FIRST（Forum of Incident Response and Security Teams）は11月1日、「CVSS」の最新版v4.0を正式に発表した。

　「CVSS」（Common Vulnerability Scoring System：共通脆弱性評価システム）はセキュリティ脆弱性の主要な特徴を評価し、わかりやすく数値化したもの。企業や政府機関、一般の消費者が脆弱性の性質や影響をすばやく把握し、対策の優先順位を決めたり、適切な対応をとるために役立てられている。

　改訂された規格では、消費者向けに基本評価基準の粒度を細かくし、下流の採点のあいまいさを取り除き、脅威の評価基準を簡素化し、環境固有のセキュリティ要件とそれを補う対策の評価の有効性を高めることが目標となっている。補足的な評価指標としてはAutomatable（ワーム可能）、Recovery（回復力）、Value Density（価値密度）、Vulnerability Response Effort（脆弱性対応の努力）、Provider Urgency（プロバイダーの緊急性）が追加されている。

　また、オペレーショナルテクノロジー（OT：製造業などの機械・インフラの監視・制御を行う技術）、産業用制御システム（ICS）、IoT（モノのインターネット）への適用性が追加されたのも注目すべき強化点。情報技術（IT）の活用範囲が広がる一方で、これまであまり注目されていなかったインフラへの攻撃――生産工場を停止に追い込む攻撃や、病院のランサムウェア被害などが記憶に新しい――が懸念されている実情をうけた改善だ。

　そのほかにも、新しい命名法が導入された。「CVSS」は基本値（ベーススコア）だけが注目されがちだが、それだけではないことを強調するために採用されたという。

• CVSS-B：CVSS基本スコア
• CVSS-BT：CVSS基本＋脅威スコア
• CVSS-BE：CVSS基本＋環境スコア
• CVSS-BTE：CVSS基本＋脅威＋環境スコア

　FIRSTは、サイバーセキュリティの問題が世界的に急速に増加し続けるなか、インターネットを誰にとっても安全なものにするためには、世界的な協調がかつてないほど不可欠であり、「CVSS 4.0」のような標準の策定はこの分野と一般市民の双方にとって不可欠であるとしている。