CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

CVSSを分かりやすく!

<CVSSを分かりやすく>

IT業界、その中でも特にセキュリティ関連のお仕事をされている方は一度は聞いたことがあるであろう「CVSS」。

今回はこのCVSSについて、シンプルイズベストをもっとーに紹介致します。

 

まず最初に以下を覚えてください(^^)/

 

・CVSS=IT製品のセキュリティ的な脆弱性のヤバさを、基本評価基準、現状評価基準、環境評価基準の3つの基準から評価したもの

 

ここは大事です。

ポイントは、「CVSSが3つの基準から構成されている」というところです。知っている方は当たり前ですが、僕もお客様とお話などしていると知らない方も非常に多いところです。

 

次に3つの基準について、それぞれ見ていきましょう。

 

①基本評価基準

⇒その脆弱性の基本的なヤバさを評価する。時間的な観点などは無視して、とにかくその脆弱性自体のヤバさを評価する。

~イメージ~

 ・脆弱性を利用して攻撃をするには、その会社のPCを盗まないとだめ。

→そこまでヤバくないかな~と評価する!

・攻撃が成功するために特権IDが必要。

→超ヤバいわけではないな~と評価する!

 

②現状評価基準

⇒その脆弱性の現在のヤバさを評価する。

~イメージ~

・既にパッチなどにより脆弱性対応が済んでいる

→そんなにヤバくないかな~と評価する!

・パッチも出てないし、脆弱性対策をするのも大変そう

→これはヤバいと評価する!

 

③環境評価基準

⇒最終的にどのくらいヤバいのかを評価する。言葉の通り、「で、この脆弱性は最終的にどのくらいヤバいの?」を評価する。尚、ここでの評価軸としては①、②に加えて、CIA(機密、完全、可用)の観点をふまえて最終評価をする。

ここはただ覚えるだけです!(笑)

 

そして、最終的によく見るような、以下のような数値で表されるのがCVSSです。

 

深刻度 スコア
緊急 9.0~10.0
重要 7.0~8.9
警告 4.0~6.9
注意 0.1~3.9
なし 0

 

かなり割愛してますが、 以上です!!