M&Aとは?初心者でもわかるIT用語解説 | ITパスポート試験対策
oufmoui
TAKE IT EASY!
CVSS(共通脆弱性評価システム)とは?定義から3つの評価基準、スコアの見方、IPA試験対策まで徹底解説
oufmoui
IT関連の勉強をしていて、『CVSS』という言葉に出会い、『いまいちピンとこない……』と頭を悩ませていませんか?
試験では単なる用語の暗記だけではなく、その仕組みや活用シーンが問われます。せっかく勉強するなら、試験に受かるだけでなく、仕事でも役立つ『一生モノの知識』として身につけたいですよね。
この記事では、CVSSの本質を、例を交えながら解説します。難しい理屈を徹底的に噛み砕き、専門用語を使わずにその正体を解き明かします。
肩の力を抜いて、気楽に読み進めましょう。この記事を読み終える頃には、小難しい専門用語がスッと頭に入り、自信を持って問題に挑めるようになっているはずです。試験合格のその先を見据えた『使える知識』を、分かりやすくお届けします。
| 用語 | CVSS | ||||||
|---|---|---|---|---|---|---|---|
| 正式名称 | Common Vulnerability Scoring System | ||||||
| 日本語訳 | 共通脆弱性評価システム | ||||||
| 定義 | 情報システムの脆弱性の深刻度を、基本評価基準・現状評価基準・環境評価基準の3つの基準で0.0から10.0のスコアで定量的に評価する国際標準のフレームワークです。 | ||||||
| 試験別出題 | |||||||
| IT | △ | SG | ◯ | FE | △ | AP | ◯ |
| カテゴリ | セキュリティ | ||||||
| 関連用語 | CVE / CWE / JVN / NVD / 脆弱性管理 / リスク評価 / セキュリティパッチ / JPCERT/CC | ||||||
CVSSとは
CVSS(Common Vulnerability Scoring System)は、日本語で「共通脆弱性評価システム」と呼ばれる国際的な標準指標です。ソフトウェアやシステムの脆弱性(セキュリティ上の欠陥)の深刻度を客観的に評価し、0.0から10.0の数値で表現します。
CVSSは米国の政府機関やセキュリティ業界が採用する仕組みで、世界中どこでも同じ基準で脆弱性を比較・評価できるという大きな利点があります。これにより、IT部門やセキュリティ担当者は限られたリソースの中で、対応すべき脆弱性の優先順位を効率的に判断できるようになります。
CVSSの歴史と現在のバージョン
CVSSは2004年に米国で開発され、その後複数の改良が加えられています。2005年にはCVSS v1、2007年にCVSS v2、2015年にCVSS v3が公開されました。2019年にはより詳細な評価ができるようにCVSS v3.1がリリースされ、現在の最新版はこのv3.1です。さらに2024年にはCVSS v4.0も登場し、採点の判断による揺らぎをさらに減らす工夫が加えられています。
CVSSスコアの意味
スコアの範囲と深刻度レベル
CVSSスコアは0.0から10.0の範囲で表され、数字が大きいほど脆弱性が深刻です。このスコアを基に、5つの深刻度レベルに分類されます。
| 深刻度レベル | スコア範囲 | 対応の緊急度 |
|---|---|---|
| 緊急(Critical) | 9.0~10.0 | 最優先で対応が必要。すぐに修正を適用すべき |
| 重要(Important) | 7.0~8.9 | 高い優先度で対応が必要。なるべく早く修正を適用 |
| 警告(Warning) | 4.0~6.9 | 中程度の優先度。計画的に対応を進める |
| 注意(Attention) | 0.1~3.9 | 低い優先度。対応の余裕があれば実施 |
| なし(None) | 0.0 | 問題なし。対応不要 |
例えば「CVSS 8.5」と聞いたら、それは「重要」レベルの脆弱性で、できるだけ早く対応する必要があるという意味になります。
CVSSの評価方法
3つの評価基準
CVSSは以下の3つの評価基準を組み合わせてスコアを算出します。多くの場合は基本評価基準だけで評価されていますが、より詳細な評価が必要な場合は他の基準も活用されます。
基本評価基準(Base Metrics)。脆弱性そのものの技術的な特性を評価する基準です。この評価は固定的であり、時間経過や利用環境の違いで変わることはありません。ベンダーやセキュリティ専門家が脆弱性を公表する際、最も重要な指標として用いられます。
現状評価基準(Temporal Metrics)。脆弱性を取り巻く状況の変化を反映する基準です。攻撃コードが公開されたか、修正プログラムが利用可能か、といった脆弱性の周辺状況の変化に対応します。時間とともに値が変わる可能性があります。
環境評価基準(Environmental Metrics)。個別の組織や企業の環境に合わせて評価する基準です。その脆弱性が自社のシステムでどの程度の影響を持つかを判断する場合に活用されます。
基本評価基準の詳細
基本評価基準では、以下の8つの項目を評価して脆弱性の深刻度を算出します。
攻撃元区分(攻撃がどこから来るか)
脆弱性を持つシステムへの攻撃がどの場所から可能かを評価します。
| 区分 | 説明 |
|---|---|
| ネットワーク(N) | インターネットなど、遠隔地からリモートで攻撃可能。最も危険 |
| 隣接ネットワーク(A) | 同じローカルネットワークやWi-Fi環境からの攻撃が必要 |
| ローカル(L) | その機器に直接アクセスできる状態での攻撃が必要 |
| 物理(P) | USBケーブルを直結するなど、物理的なアクセスが必要。最も難しい |
攻撃条件の複雑さ(攻撃が難しいかどうか)
脆弱性を悪用するのに特別な条件が必要かどうかを評価します。
| 評価 | 説明 |
|---|---|
| 低(L) | 特別な条件がなく、いつでも簡単に攻撃できる |
| 高(H) | 攻撃者は事前に対象システムの情報を収集したり、特定の環境条件を整える必要がある |
必要な特権レベル(事前にどんな権限が必要か)
脆弱性を悪用するために、攻撃者があらかじめ持っている必要がある権限の程度です。
| 評価 | 説明 |
|---|---|
| 不要(N) | 誰でも、何の権限もなく攻撃できる。最も危険 |
| 低(L) | 基本的なユーザー権限が必要。例えば、一般ユーザーアカウントが必要 |
| 高(H) | 管理者権限が必要。通常ユーザーは持っていない高度な権限 |
ユーザー関与レベル(ユーザーの協力が必要か)
脆弱性が悪用される際に、ターゲットユーザーの何らかの操作が必要かどうかです。
| 評価 | 説明 |
|---|---|
| 不要(N) | ユーザーが何もしなくても攻撃が成立。自動的に被害を受ける可能性がある |
| 必要(R) | リンクをクリック、ファイルを開く、設定を変更するなど、ユーザーの操作が必要 |
スコープ(影響の範囲)
脆弱性の被害がどこまで広がるかを評価します。
| 評価 | 説明 |
|---|---|
| 変更なし(U) | 脆弱性のあるシステム内だけで影響が留まる |
| 変更あり(C) | 別のシステムにも悪影響が波及する可能性がある。例えば、Webアプリケーションの脆弱性から、その背後のデータベースまで被害が広がるケース |
機密性への影響(情報漏えいのリスク)
脆弱性を悪用された結果、秘密情報や個人情報がどの程度漏える可能性があるかです。
| 評価 | 説明 |
|---|---|
| 高(H) | 機密情報やシステムファイルが大量に漏える。影響が全体に及ぶ |
| 低(L) | 情報漏えいは起きるが、限定的な範囲にとどまる |
| なし(N) | 機密情報の漏えいはない |
完全性への影響(情報改ざんのリスク)
脆弱性を悪用された結果、重要な情報がどの程度改ざんされる可能性があるかです。
| 評価 | 説明 |
|---|---|
| 高(H) | 機密情報やシステムファイルが改ざん可能。影響が全体に及ぶ |
| 低(L) | 情報の改ざんは起きるが、重要な部分は保護されている |
| なし(N) | 情報の改ざんはない |
可用性への影響(システム停止のリスク)
脆弱性を悪用された結果、システムやサービスがどの程度停止する可能性があるかです。
| 評価 | 説明 |
|---|---|
| 高(H) | システムが完全に停止したり、リソース(メモリ、ストレージ)が枯渇する |
| 低(L) | システムの一時的な遅延や中断が発生する |
| なし(N) | システムの可用性に影響はない |
CVSSスコアの計算方法
実際のCVSSスコア計算は複雑な数学式を使いますが、基本的な考え方は次の通りです。
上記の8つの項目ごとに数値を割り当て、それらを組み合わせて「影響度」と「攻撃容易性」を計算します。次に、これら2つの値を組み合わせて最終的なスコアを算出します。
幸いなことに、初心者は計算式を覚える必要はありません。多くの脆弱性情報データベースやセキュリティ企業のWebサイトが、CVSSスコアを自動計算するオンラインツールを提供しています。そうしたツールに各項目の評価値を入力するだけで、自動的にスコアが算出されます。例えば、IPA(情報処理推進機構)が運営する「JVN iPedia」というデータベースでは、脆弱性ごとのCVSSスコアが既に計算・公表されています。
CVSSの実務活用
脆弱性対応の優先順位付け
CVSSスコアの最大の活用場面は、複数の脆弱性が発見された際に、どれから対応すべきかを判断することです。例えば、ある企業が10個の脆弱性を発見した場合、全てを同時に修正することは難しいため、スコアが高いものから順に対応します。
「CVSS 9.5」と「CVSS 2.1」の脆弱性が見つかった場合、前者を優先することは明らかです。
CVEとの関係
脆弱性の世界では「CVE(Common Vulnerabilities and Exposures)」という用語もよく登場します。CVEは脆弱性に付けられた「識別番号」(例:CVE-2024-12345)で、CVSSはその脆弱性の「深刻度」です。つまり、CVEは脆弱性を区別するもので、CVSSはその深刻度を測るものという関係です。
CVSS v3.1での変更点
CVSS v3.1は2019年にリリースされ、v3.0から改良されました。主な変更点は、ユーザー関与レベルの評価がより細かくなったこと、採点時の判断によるブレが減ったことなどです。これにより、より正確で客観的な評価が可能になりました。
CVSSで誤解しやすいポイント
CVSSスコアは「脆弱性がいつ悪用されるか」を示すものではない
CVSSスコアが高いからといって、その脆弱性がすぐに悪用されるわけではありません。CVSSは脆弱性そのものの技術的な危険度を評価するもので、実際に攻撃者が悪用する可能性までは含まれていません。例えば、CVSSスコアが9.5と非常に高い脆弱性でも、攻撃するには特殊な環境設定や事前知識が必要で、実際には悪用されないケースも存在します。一方、CVSSスコアが低くても、攻撃コードが公開され、多くの攻撃者に悪用されている脆弱性もあります。脅威インテリジェンス情報と組み合わせて判断することが重要です。
CVSSスコアは完全に固定的ではない
基本評価基準は脆弱性の技術的な特性に基づくため、通常は変わりません。しかし、現状評価基準は時間とともに変化する可能性があります。例えば、初期段階では攻撃コードが公開されていなくても、数週間後に攻撃コードが公表されれば、現状評価基準が更新され、スコアが上昇することがあります。ApacheStruts2の脆弱性では、初期評価時のスコアが7.5でしたが、後に攻撃コードが公開されたため、実質的な危険度が上昇しました。
CVSSスコアは「その組織への影響」を直接的には示さない
CVSSの基本評価基準は、脆弱性に対する一般的な影響度を評価するもので、特定の組織や業界の状況を反映していません。例えば、同じCVSSスコア7.0の脆弱性でも、銀行のシステムに発見されれば重大な問題ですが、開発テスト環境に発見されれば優先度は下がるかもしれません。自組織にもたらす実際のリスクを判断するには、環境評価基準を適用することが必要です。
CVSSスコア10.0でも対応の優先順位は変わることがある
CVSS高=即座に対応という単純な判断は危険です。CISAの調査によると、CVSSスコアが「重大」または「高」と判定された脆弱性のうち、実際に悪用される脆弱性は全体の4%に過ぎません。つまり、スコアが高い脆弱性すべてに同じレベルの対応リソースを割く必要はないという意味です。脆弱性のビジネス影響度、現在の脅威状況、修正の難易度などを総合的に勘案して優先順位を決定することが重要です。
CVSSスコアだけで「脆弱性の本当の危険度」は判断できない
CVSSスコアは技術的な深刻度を数値化したものですが、現実世界の攻撃リスクを完全に表現しているわけではありません。例えば、攻撃のしやすさ、既存の防御対策の有効性、組織のセキュリティ成熟度なども総合的に考慮する必要があります。EPSS(エクスプロイタビリティスコア)やリアルリスクスコアといった補足的な指標を併用することで、より正確なリスク判断ができます。
基本評価基準と現状評価基準、環境評価基準の違いが混乱しやすい
| 評価基準 | 変更可能性 | 誰が決めるのか | 用途 |
|---|---|---|---|
| 基本評価基準 | ほぼ変更なし | ベンダー・セキュリティ機関 | 脆弱性の技術的な危険度を国際的に統一 |
| 現状評価基準 | 時間とともに変化 | ベンダー・脆弱性公表機関 | 攻撃コード公開や修正プログラム利用可能かなど、現在の状況を反映 |
| 環境評価基準 | 組織ごとに異なる | 各組織のセキュリティチーム | その組織のシステムやビジネス価値を考慮した相対的危険度 |
基本評価基準は「誰もが同じスコアを使う」共通物差しです。現状評価基準は「状況の変化を反映させる」追加情報です。環境評価基準は「うちの環境では?」という自組織への適用です。この3つの関係を理解することが重要です。
CVSSスコアの計算式は非常に複雑だが、初心者が学ぶべきは「構造」である
CVSSスコアを算出する計算式は複雑ですが、初学者が試験対策として計算式を完全に覚える必要はありません。重要なのは「攻撃の容易さ」「影響の大きさ」という2つの軸で脆弱性を評価する仕組みを理解することです。実務では公式の計算ツール(FIRST CVSS Calculator、NVD CVSS Calculatorなど)を使用して自動算出します。試験では、スコア範囲と深刻度の対応関係、8つの評価項目の意味、3つの評価基準の違いを理解していることが問われます。
混同注意!CVSSと間違いやすい用語
CVSSとCVE
CVSSとCVEはセキュリティ分野で最も混同しやすい用語です。
| 項目 | CVSS | CVE |
|---|---|---|
| 正式名 | Common Vulnerability Scoring System | Common Vulnerabilities and Exposures |
| 日本語訳 | 共通脆弱性評価システム | 共通脆弱性識別子 |
| 役割 | 脆弱性の「深刻度」を数値化 | 脆弱性に付けられる「一意のID」 |
| 例 | 8.5(数値) | CVE-2025-57352(ID番号) |
| 形式 | 0.0~10.0の数値 | CVE-西暦-連番 |
| 意味 | 「この脆弱性はどれくらい危険か」を示す | 「この脆弱性が何なのか」を特定する |
| 変更の可能性 | 基本評価基準は固定、現状値は変更可能 | 一度割り当てられたら変更されない |
具体例で考えると、「CVE-2025-57352」という脆弱性があったとき、「この脆弱性はCVSS 5.3(中程度)の危険度です」と説明します。CVEは「何の脆弱性か」、CVSSは「どれくらい危険か」という異なる情報を提供しています。
試験では「脆弱性の識別番号は何か」と聞かれたらCVE、「深刻度を数値で示すものは何か」と聞かれたらCVSSと答えるようにしましょう。
CVSSとCWE
CWEは脆弱性の「種類」や「原因」を分類する仕組みです。
| 項目 | CVSS | CWE |
|---|---|---|
| 正式名 | Common Vulnerability Scoring System | Common Weakness Enumeration |
| 日本語訳 | 共通脆弱性評価システム | 共通脆弱性タイプ一覧 |
| 役割 | 脆弱性の「深刻度」を評価 | 脆弱性の「種類・原因」を分類 |
| 例 | 7.5(数値) | CWE-89(SQLインジェクション) |
| 形式 | 0.0~10.0の数値 | CWE-番号 |
| 意味 | 「危険度はどのレベルか」 | 「どんなタイプの弱点なのか」 |
| 数の多さ | 1つ | 複数(同じ脆弱性が複数のCWEに該当することもある) |
例えば、「XSS(クロスサイトスクリプティング)」という脆弱性があるとき、それはCWE-79という種類(CWE)に分類されます。そして、その脆弱性がどれくらい危険かを評価するのがCVSS(例:6.1)です。CWEは「脆弱性の診断名」、CVSSは「その診断の重症度」というイメージです。
試験では「脆弱性のタイプを分類するものは何か」と聞かれたらCWE、「脆弱性の危険度を数値で表すものは何か」と聞かれたらCVSSと答えましょう。
CVSSと「脅威レベル」「リスク」
CVSSスコアが高い=その組織にとって高いリスク、という単純な関係ではありません。
| 項目 | CVSS | 脅威レベル・リスク |
|---|---|---|
| 評価内容 | 脆弱性そのものの技術的な危険度 | 実際の攻撃可能性と組織への影響 |
| 考慮要素 | 攻撃の容易さ、悪用時の影響の大きさ | 攻撃者の動向、自組織への狙われやすさ、ビジネス影響 |
| 例 | CVSS 9.5 | リスク=脅威 × 脆弱性 × 資産価値 |
| 決定者 | セキュリティエキスパート・ベンダー | セキュリティチーム・経営層 |
CVSSスコアが10.0に近い脆弱性でも、その組織が使用していないソフトウェアの脆弱性であれば、実際のリスクは「なし」です。逆に、CVSSスコアが5.0(中程度)でも、攻撃が実際に行われており、その組織の重要なシステムに存在していれば、リスクは高い可能性があります。
CVSS=「技術的な危険度の物差し」、リスク=「その組織にもたらす実質的な悪影響」という異なるレベルの概念であることを理解しましょう。
CVSSスコアの数値が「被害額」を示すわけではない
初学者は「CVSSスコア9.5の脆弱性が悪用されたら、被害が9.5倍大きい」という誤解をすることがあります。そうではなく、CVSSスコアは相対的な「危険度の順序付け」に過ぎません。スコア9.5とスコア5.0の脆弱性があったとき、前者の方が危険度が高いことを示しているだけで、被害額や影響度の絶対値を示すものではありません。
実際の被害額は、そのシステムのビジネス価値、影響を受けるユーザー数、修復にかかるコストなど、多くの要因に左右されます。
「CVSSスコアが高い=すぐに修正プログラムが出ている」わけではない
CVSSスコアが高い脆弱性でも、修正プログラムの提供に時間がかかる場合があります。特に古いソフトウェアやマイナーなソフトウェアでは、高スコアの脆弱性でもベンダーが修正を優先しないこともあります。逆に、CVSSスコアが低い脆弱性でも、セキュリティパッチが迅速に提供されることもあります。
修正プログラムの有無は、現状評価基準の「Remediation Level(利用可能な対策のレベル)」で評価され、基本評価基準とは別に判断されます。
CVSSスコアが「0」と「未評価」の違い
CVSSスコアが0.0というのは「脆弱性がない状態」を示します。一方、脆弱性データベースに「CVSS未評価」と表記されている場合は「脆弱性は存在するが、スコアが算出されていない状態」です。つまり、スコアなしでも脆弱性は存在し、対応が必要な場合があります。特に新しく発見された脆弱性は、情報不足のため一時的に「未評価」とされることがあります。
【試験別】出題ポイントと対策
各試験の出題傾向と対策について解説します。受験予定の試験にタブを切り替えて確認しましょう。
IT
SG
FE
AP
ITパスポート試験の出題傾向と対策
ITパスポート試験では、CVSSが直接的に大きく取り上げられることはまれですが、「脆弱性対策」の一般的な知識として、定義や基本的な役割が問われることがあります。出題される場合は、CVSSが脆弱性の深刻度を0.0~10.0の数値で定量的に評価する仕組みであることを理解していることが最低限必要です。シラバスでは「セキュリティ評価基準」の中にCVSSが位置づけられており、情報セキュリティ対策を考える上での優先順位付けの指標として機能することが強調されます。
頻出パターン
「CVSS」と「ISMS」「PCI DSS」などのセキュリティフレームワークを区別する問題が出題されやすくなっています。選択肢では、CVSSを「脆弱性評価」の指標として正しく識別することがポイントです。例えば、「脆弱性の優先度を数値で判定するには何を用いるか」といった問い方が典型的です。
試験対策
CVSSの詳細な計算方法や3つの評価基準(基本・現状・環境)の違いを深く理解する必要はありません。むしろ「脆弱性の深刻度を0~10で数値化する仕組み」という基本的な定義と、スコアが高いほど対応の優先度が上がるというビジネス上の意味づけを押さえることが重要です。また、CVSSと類似する用語(CVE:識別番号、CWE:脆弱性の種類)との違いを混同しないようにしましょう。
情報セキュリティマネジメント試験の出題傾向と対策
SG試験では、CVSSが脆弱性管理プロセスの運用段階における重要な指標として扱われます。シラバスの「脆弱性管理」領域に位置づけられており、発見された脆弱性に対して、スコアに基づいて対応優先度を判断し、修正プログラムの適用や回避策の導入を計画する際の判断軸として機能することが問われます。過去問では、基本評価基準・現状評価基準・環境評価基準の3つの区別が頻出であり、各々の意味の違いを正確に理解していることが合格に不可欠です。
頻出パターン
「基本評価基準は時間で変わらず、現状評価基準は時間とともに変わる」という相違点を問う問題が顕著です。特に、「攻撃コードが公開された場合、どの基準が更新されるか」「修正プログラムの提供状況は現状評価基準に含まれるか」といった運用に関わる判断問題が出題されやすくなっています。また、環境評価基準と混同させるような選択肢設定も見られます。
試験対策
3つの評価基準の違いを表にまとめて整理することをお勧めします。特に、「基本評価基準(脆弱性の技術的特性)」「現状評価基準(脆弱性を取り巻く状況の変化)」「環境評価基準(利用者の環境に合わせた再評価)」という位置づけを、運用上の流れの中で理解することが重要です。また、過去問で基本評価基準の8つの評価項目(攻撃元区分、複雑さ、必要権限、ユーザ関与、スコープ、機密性・完全性・可用性への影響)の名称は覚える必要がありますが、各項目の詳細な内容よりも、「攻撃のしやすさ」と「影響の大きさ」の2軸で脆弱性を評価する仕組みだと整理することが得点につながります。
基本情報技術者試験の出題傾向と対策
FE試験では、CVSSがシラバスの「情報セキュリティ」領域に位置づけられており、選択肢問題(科目A)と午後問題の両方で登場する可能性があります。科目A試験では、3つの評価基準の説明や、CVSSスコアの深刻度レベルの判定(例:「スコア7.5は何に分類されるか」)が問われることが多いです。午後問題では、セキュリティ脆弱性に関する設問の中で、脆弱性の優先度判定にCVSSスコアを活用する実践的なシナリオが出題されることもあります。
頻出パターン
「CVSSスコア9.2は深刻度レベルでは何か」「スコアが高い脆弱性から優先的に修正する理由は何か」といった、スコアと対応優先度の関連性を問う問題が出題されています。また、3つの評価基準の役割の相違を問う4択問題も頻出で、特に「基本評価基準は脆弱性自体の特性」「現状評価基準は時間的な変化」という区別が重要です。
試験対策
スコア範囲と深刻度レベルの対応を確実に覚えてください。「0~3.9(注意)」「4.0~6.9(警告)」「7.0~8.9(重要)」「9.0~10.0(緊急)」の4段階は、多くの問題で問われます。また、午後問題では、複数の脆弱性が提示されて、CVSSスコアに基づいて対応順序を判定する問題の可能性もあります。その際は、スコアだけでなく「その組織のシステムにとって本当に重要な脆弱性か」という環境評価基準の観点も組み込んだ思考が求められることがあるため、3つの基準の関係性をしっかり押さえておくことが得点を伸ばすカギになります。
応用情報技術者試験の出題傾向と対策
AP試験では、科目A試験で3つの評価基準の説明問題や、スコア範囲の判定問題が出題される可能性がありますが、より重要なのは午後問題での登場パターンです。セキュリティ対策や脆弱性管理に関する午後の長文問題の中で、複数の脆弱性が発見された場合に、CVSSスコアと現状評価基準(攻撃コードの有無など)、さらに環境評価基準(その組織における影響度)を総合的に判断して、対応の優先順位を決定する設計判断が求められます。この段階では、CVSSスコアが高い=最優先という単純な考え方では不十分であり、実務的なリスク判断能力が試されます。
頻出パターン
午後問題では、「スコア9.5だが、修正プログラムがまだ提供されていない脆弱性」と「スコア6.0だが、すでに攻撃コードが公開されている脆弱性」のどちらを優先すべきかといった多元的な判断が求められるパターンが目立ちます。また、特定のシステムに存在する脆弱性について、その組織のビジネス重要度や既存の防御対策を加味して、実質的なリスク評価を行う設問も出題されています。さらに、CVSS v3 と CVSS v4 の違い(評価項目の細分化や脅威評価基準の追加など)が論点になる可能性も高まっています。
試験対策
科目A対策としては、3つの評価基準の定義と役割分担を確実に習得してください。特に「環境評価基準は利用者の環境に合わせた再評価」というポイントを理解することが重要です。
午後問題対策としては、「CVSSスコアは技術的な危険度の指標に過ぎず、実際の対応優先度はビジネス影響度や現在の脅威状況も合わせて判断すべき」という実務的な観点を身につけることが重要です。また、IPA公式の脆弱性対策ガイドやJPCERT/CCの情報を参考に、実際の脆弱性管理の運用フローをシミュレーションしておくと、午後問題で求められるシステム設計判断の精度が向上します。さらに、CVSS v4.0への移行が進む中で、新旧バージョンの評価項目の相違を把握しておくことも得点を上げるためのプラスαになります。
例題・過去問演習
- 【Q1】CVSS v3の評価基準として正しいのは次のうちどれか。(情報処理安全確保支援士 平成30年春期 午前Ⅱ 問1)
ア)機密性への影響、攻撃元区分、特権レベルなど、脆弱性そのものの特性を評価する。
イ)攻撃される可能性、利用可能な対策のレベル、脆弱性情報の信頼性など、評価時点における脆弱性の特性を評価する。
ウ)脆弱性を悪用した攻撃シナリオについて、機会、正当化、動機から、脆弱性が悪用される基本的なリスクを評価する。
エ)利用者のシステムやネットワークにおけるセキュリティ対策など、攻撃の難易度や影響度を再評価し、最終的な深刻度を評価する。 -
基本評価基準は、脆弱性そのものの技術的な特性を評価する基準で、時間の経過や利用環境によって変わりません。イの選択肢は現状評価基準の説明であり、エは環境評価基準の説明です。ウは「不正のトライアングル」という脆弱性悪用を促す環境要因を説明するもので、CVSSの評価基準ではありません。3つの基準を正確に区別することが、SC試験での得点を大きく左右します。
Q
- 【Q2】3つの評価基準を持つシステムは次のうちどれか。(情報処理安全確保支援士 令和元年度秋期 問9)
ア)CVSS
イ)ISMS
ウ)PCI DSS
エ)PMS -
CVSSは基本・現状・環境の3つの評価基準を持つ唯一の評価システムです。イのISMS(情報セキュリティマネジメントシステム)は管理体系、ウのPCI DSS(クレジットカード業界の基準)とエのPMS(個人情報保護マネジメントシステム)は規格や基準であり、脆弱性スコアを算出する評価方法ではありません。CVSSの定義と他のセキュリティ関連概念との違いを理解することが、初期段階での合格に必須です。
Q
- 【Q3】CVSSの特徴として正しいのは次のうちどれか。(情報セキュリティマネジメント 平成30年秋期 問28)
ア)CVSSv2とCVSSv3は、算出方法が同じであり、どちらを使用しても同じ値になる。
イ)情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり、特定ベンダーに依存しない。
ウ)脆弱性の深刻度を0から100の数値で表す。
エ)脆弱性を評価する基準は、現状評価基準と環境評価基準の二つである。 -
CVSSは国際的な標準であり、特定の企業に依存しないオープンな評価手法です。アは誤りで、v3では基本評価基準が改良されたため同じ脆弱性でも異なる値が出ることがあります。ウは誤りで、スコアは0.0~10.0の範囲です。エは誤りで、3つの基準(基本・現状・環境)があります。ベンダー依存性の有無と基準の数を区別できないと誤答しやすい問題です。
Q
- 【Q4】基本評価基準の固定性(情報処理安全確保支援士 平成29年秋期 問13)
基本評価基準、現状評価基準、環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
ア)CVSS
イ)ISMS
ウ)PCI DSS
エ)PMS -
CVSSは基本評価基準により脆弱性そのものの特性を固定的に評価し、現状・環境評価基準により状況に応じた再評価を行います。基本評価基準は時間経過や環境変化で変わらないという点が、CVSSを理解する上で重要なポイントです。この問題も同様にISMS、PCI DSS、PMSとの区別が求められており、複数の試験回で繰り返し出題される典型問題となっています。
Q
- 【Q5】脆弱性識別との区別(応用情報技術者 令和5年春期 問40)
ソフトウェアの既知の脆弱性を一意に識別するために用いる情報はどれか。
ア)CCE(Common Configuration Enumeration)
イ)CVE(Common Vulnerabilities and Exposures)
ウ)CVSS(Common Vulnerability Scoring System)
エ)CWE(Common Weakness Enumeration) -
CVEは脆弱性に付けられた「識別番号」であり、CVSSはその脆弱性の「深刻度スコア」です。この問題は脆弱性識別に関する出題ですので、CVEが正解となります。ウのCVSSは脆弱性そのものを特定するのではなく、既に特定された脆弱性の危険度を数値化するため、誤答しやすいポイントです。応用情報試験では、このような用語の正確な役割分担を理解していることが重視されます。
Q
CVSSに関連する重要用語の解説
CVE(共通脆弱性識別子)
CVEは「Common Vulnerabilities and Exposures」の略で、脆弱性に付けられた一意の識別番号です。脆弱性が発見されると、世界中のセキュリティ専門家が情報を共有するために、各脆弱性に「CVE-2025-57352」のような番号が割り当てられます。
| 項目 | 詳細 |
|---|---|
| 役割 | 脆弱性を特定し、識別する |
| 形式 | CVE-西暦-連番(例:CVE-2025-12345) |
| 管理機関 | MITRE Corporation(米国) |
| 日本での確認方法 | JVN iPediaで検索可能 |
CVEは脆弱性の「名前」のようなもので、「この脆弱性が何なのか」を特定するためのIDです。一方、CVSSは「その脆弱性がどれくらい危険か」を数値で表すものなので、CVEとCVSSは異なる役割を持っています。IT資格の試験では「脆弱性の識別番号は何か」と聞かれたらCVE、「危険度を数値で示すものは何か」と聞かれたらCVSSと区別することが重要です。
CWE(共通脆弱性タイプ)
CWEは「Common Weakness Enumeration」の略で、脆弱性の「種類」や「原因」を分類する仕組みです。同じ原因で発生する脆弱性は、同じCWE番号で分類されます。
| 項目 | 詳細 |
|---|---|
| 役割 | 脆弱性の種類・原因を分類する |
| 形式 | CWE-番号(例:CWE-89はSQLインジェクション) |
| 管理機関 | MITRE Corporation |
| 種類の数 | 940種類以上(2024年時点) |
例えば「XSS(クロスサイトスクリプティング)」という脆弱性は、CWE-79という種類に分類されます。CWEは脆弱性の「診断名」のようなもので、同じ診断名の脆弱性には同じCWE番号が付けられ、セキュリティ専門家が共通の言葉で脆弱性について議論することができます。
CVSSと混同しないために、「種類・原因を分類する=CWE」「危険度を数値で評価する=CVSS」と覚えましょう。
NVD(米国脆弱性データベース)
NVDは「National Vulnerability Database」の略で、米国国立標準技術研究所(NIST)が管理する脆弱性情報のデータベースです。世界中で発見された脆弱性のほぼすべてが登録されており、各脆弱性にはCVSSスコアが付与されています。
| 項目 | 詳細 |
|---|---|
| 管理機関 | NIST(米国) |
| 登録内容 | CVE番号、CWE、CVSSスコア、脆弱性の詳細説明 |
| 特徴 | 無料で利用可能。英語で提供 |
| 日本版 | JVN iPedia(IPA・JPCERT/CCが運営) |
NVDは世界的な脆弱性情報の中心的な存在で、脆弱性管理を行う組織は必ずNVDの情報を参照します。NVDに登録されたCVEは、日本のJVN iPediaにも同期される仕組みになっています。試験では「脆弱性情報をスコア付きで確認できるデータベースは何か」と聞かれたらNVDと答えるようにしましょう。
JVN iPedia(日本の脆弱性データベース)
JVN iPediaは、日本の情報処理推進機構(IPA)とJPCERT/コーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性対策情報データベースです。NVDの情報を日本語で提供しており、日本国内の脆弱性情報も掲載されています。
| 項目 | 詳細 |
|---|---|
| 運営機関 | IPA・JPCERT/CC(日本) |
| 提供言語 | 日本語 |
| アクセス方法 | 無料でWeb検索可能 |
| 掲載情報 | CVE、CVSS、脆弱性の概要、対策方法 |
JVN iPediaはNVDをベースにしていますが、日本国内で独自に発見された脆弱性もあり、こうした日本固有の脆弱性を探す場合はJVN iPediaが便利です。また、日本語で説明されているため、初学者にとっても理解しやすいという利点があります。日本でIT資格を学ぶ際は、NVDよりもJVN iPediaを参照することをお勧めします。
まとめ
CVSSについての大事なポイントを改めてまとめましょう。
・CVSSは脆弱性の深刻度を0.0~10.0の数値で評価する国際標準の指標である。
・スコアが高いほど脆弱性は危険で、対応の優先度が上がる。
・基本評価基準は脆弱性そのものの特性を評価し、固定的な値である。
・現状評価基準と環境評価基準は、脆弱性を取り巻く状況や個別の環境に応じて変わる可能性がある。
・攻撃の容易さ(どこから、どれくらい簡単に攻撃できるか)と影響の大きさ(機密性、完全性、可用性への影響)を組み合わせて評価する。
・複数の脆弱性が見つかった場合、CVSSスコアが高い順に対応するのが効率的である。
・多くの脆弱性情報は既にCVSSスコアが計算されているため、初心者は数値の読み方を理解することから始めるのが効果的である。
・CVEは脆弱性の識別番号、CVSSはその深刻度という異なる役割を担っている。
ABOUT ME
会社の研修でpythonを勉強し始めました。
.jpeg)
