投稿日: 投稿者: 彦坂菜奈子

CVSSスコアの正しい使い方 ―脆弱性対応の判断にどう活かすべきか―

Share
CVSSスコアの正しい使い方 ―脆弱性対応の判断にどう活かすべきか―アイキャッチ画像

脆弱性対応を検討する際、多くの担当者が参考にする指標が CVSSスコアです。しかし、CVSSは正しく理解して使わなければ、かえって判断ミスを招いてしまう原因になります。本記事では、CVSSスコアの基本的な考え方と、企業の脆弱性対応判断にどう活かすべきかを整理します。

CVSSスコアとは何か

CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を数値で表すための共通指標です。多くの場合、0.0〜10.0のスコアで示され、数値が高いほど深刻とされます。

【深刻度(例)】

  • 低(Low)
  • 中(Medium)
  • 高(High)
  • 緊急(Critical)

重要なのは、CVSSは「脆弱性そのものの性質」を評価する指標であり、個々の企業環境を前提としていないという点です。本来の目的は、脆弱性の危険度を関係者間で共通認識として共有することにあります。

CVSSスコアが「分かりやすいが危険」な理由

CVSSは便利な指標ですが、これだけで対応の優先順位を決めるのは危険です。なぜならCVSSは自社環境を前提にしておらず、その脆弱性が実際に攻撃されるかどうかを保証していないためです。同じCVSSスコアでも、「インターネットから誰でもアクセスできるWebサービス」と「内部ネットワークでしか使われていない管理系システム」では、実際のリスクは大きく異なります。CVSSは「脆弱性そのものの性質」を示すものであり、「自社にとっての危険度」そのものではないことを理解しておく必要があります。

CVSSを構成する3つの要素

CVSSは主に次の3要素で構成されています。

  1. ベーススコア
    脆弱性が持つ本質的な深刻度を表します。多くの脆弱性情報で表示されるのがこのスコアです。
  2. Temporalスコア
    攻撃コード(PoC)の公開状況や対策情報の有無など、時間とともに変化する要素を反映します。
  3. Environmentalスコア
    実際の利用環境や影響度を考慮したスコアです。企業の判断に最も近いのはこの要素ですが、実際には十分に使われていないことが多いのが実情です。

CVSSスコアだけで判断してはいけない理由

CVSSスコアが高くても、必ずしも「今すぐ対応すべき」とは限りません。例えば、内部ネットワーク限定で利用されている、認証が必須で、悪用難易度が高い、該当機能が実際には使われていない、などの場合、実際のリスクは限定的です。逆に、CVSSスコアが中程度でも、「インターネットから直接アクセス可能」「既に攻撃事例が出ている」「業務停止に直結する」といったケースでは、優先度は高くなります。

脆弱性対応判断におけるCVSSの正しい位置づけ

CVSSスコアは、次のように使うのが現実的です。

候補の洗い出し:スコアが高い脆弱性を把握する
自社環境への当てはめ:実際の優先順位は「利用状況 × 公開範囲 × 業務影響」で決める
対応方法の検討:即時対応か、回避策か、計画対応かを判断

CVSSが高い脆弱性は、「詳細に確認すべき候補」として扱うのが適切です。

CVSSスコアを見るときのチェックポイント

実務では、CVSSスコアに加えて以下を確認します。これらを組み合わせることで、「今すぐ対応すべきか」「計画対応でよいか」の判断材料が見えてきます。

  • 攻撃条件は現実的か(認証不要/公開範囲)
  • 攻撃コード(PoC)は出回っているか
  • 悪用された場合の影響はどこまで及ぶか
  • 一時的な回避策でリスクを下げられるか

CVSSとあわせて確認すべき情報

CVSSだけでなく、次の情報もあわせて確認することが重要です。

  • 実際の攻撃事例や観測情報
  • ベンダーのアドバイザリ内容
  • 自社システム構成・利用実態
  • 業務影響や復旧にかかるコスト

これらを総合的に見ることで、自社にとっての“本当の優先度”が見えてきます。

本記事は、脆弱性対応全体の考え方を整理した
脆弱性対応の優先順位と判断基準|すべてを今すぐ直す必要はあるのか?
の中で、CVSSという判断材料を深掘りした位置づけです。 CVSSはあくまで道具の一つであり、最終判断は全体像を踏まえて行う必要があります。

まとめ:CVSSは「判断を助ける指標」として使う

CVSSスコアは非常に便利ですが、万能ではありません。「CVSSは優先順位判断の補助として使い、スコアだけで判断を出さない」「自社環境を考慮する」「攻撃されやすさ × 影響度」で判断する」―この考え方を持つことで、脆弱性対応の精度は大きく向上します。

脆弱性対応全体の判断基準については、
脆弱性対応の優先順位と判断基準―限られたリソースでリスクを下げる考え方 の記事で詳しく解説しています。

次の記事は…
「緊急パッチ適用の判断基準:業務影響を抑えるにはどうすべきか」

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBSecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
ウェビナーアーカイブ動画ページバナー画像