用語辞典
CVSS とは — 脆弱性の“深刻度スコア”と、その採点基準
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻さを0.0〜10.0で表す世界共通の物差し。点数は感覚ではなく、攻撃元・必要権限・影響(CIA)など決められたメトリクスから計算式で算出されます。採点基準・ベクター文字列の読み方・10.0が出る仕組み・v3.1とv4.0の違い・スコアに振り回されないコツまで、図と表でやさしく解説。
「CVSS 10.0」「CVSS 9.8 のRCE」——脆弱性のニュースで必ず出てくる数字です。これは雰囲気で付けた点数ではなく、決められた採点基準(メトリクス)と計算式から出ています。その読み方を、用語ゼロから解説します。
まず「スコアの目安」
| スコア | ランク | 体感 |
|---|---|---|
| 9.0 – 10.0 | Critical(重大) | 即対応。乗っ取り級が多い |
| 7.0 – 8.9 | High(高) | 早めに対応 |
| 4.0 – 6.9 | Medium(中) | 計画的に対応 |
| 0.1 – 3.9 | Low(低) | 様子を見つつ |
CVE が「どの脆弱性か」を表す名前なら、CVSS は「それがどれくらい深刻か」を表す点数です。例えば「CVSS 10.0 の RCE」は、最高ランクのリモートコード実行=最悪クラスを意味します。
採点基準は、ちゃんとある
CVSS の点数は、大きく 3つの評価グループから組み立てられます。世の中で「CVE-XXXX は CVSS 9.8」と公表されるのは、ほとんどがいちばん上の 基本評価(Base) の点数です。
基本 Base
脆弱性そのものの性質。公表される本体スコア。
脅威 Threat
悪用コードの出回り具合で時間とともに補正。
環境 Environmental
自分の構成・重要度に合わせて再計算。
① 悪用しやすさ
② 影響の大きさ
基本評価は、ざっくり 「① 悪用しやすさ」×「② 影響の大きさ」 で決まります。攻撃が簡単で、しかも被害が大きいほど高得点。次の2つの表が、その採点項目の中身です。
① 悪用しやすさ(どれだけ簡単に攻撃できるか)
| メトリクス | 取りうる値 | 高スコアに振れる条件 |
|---|---|---|
| 攻撃元区分 (AV) | ネットワーク / 隣接 / ローカル / 物理 | ネットワーク(インターネット越し)が最も危険 |
| 攻撃複雑性 (AC) | 低 / 高 | 低(特別な条件や運が不要)が危険 |
| 必要権限 (PR) | 不要 / 低 / 高 | 不要(ログインすら要らない)が危険 |
| 利用者関与 (UI) | 不要 / 必要 | 不要(被害者が何もしなくても成立)が危険 |
すべてが「いちばん危険な側」だと、ネット越しに・簡単に・無認証で・相手の操作なしに攻撃できる、という最悪の前提になります。
② 影響の大きさ(成功したら何が起きるか)
CIA とは、情報セキュリティの3本柱 機密性・完全性・可用性 の頭文字です。
| メトリクス | 取りうる値 | 「高」の意味 |
|---|---|---|
| 影響範囲 (S) | 変化なし / 変化あり | 変化あり=侵害が元の権限の“箱”を越えて他へ波及する |
| 機密性 (C) | 高 / 低 / なし | データを根こそぎ読める |
| 完全性 (I) | 高 / 低 / なし | データを自由に書き換えられる |
| 可用性 (A) | 高 / 低 / なし | サービスを完全に止められる |
“影響範囲(S):変化あり”が点数を押し上げる
たとえばコンテナの中だけの被害(変化なし)か、そこからホストや他サービスまで侵食する(変化あり)かの違いです。この「箱を越えるか」が、同じ条件でもスコアを大きく動かします。
ベクター文字列:点数の“レシピ”が1行に入っている
CVSS のスコアには、必ず ベクター文字列という短い文字列が付いてきます。これは「どのメトリクスをどう選んだか」を記録した点数の根拠で、ここを読めば点数の理由が分かります。
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H → 10.0 (Critical)この1行を分解すると、すべてが「いちばん危険な側」に振れているのが分かります。
| 区切り | 意味 | この例の選択 |
|---|---|---|
AV:N | 攻撃元区分 = ネットワーク | ネット越しに攻撃可 |
AC:L | 攻撃複雑性 = 低 | 簡単に成立 |
PR:N | 必要権限 = 不要 | 無認証で可 |
UI:N | 利用者関与 = 不要 | 被害者の操作不要 |
S:C | 影響範囲 = 変化あり | 箱を越えて波及 |
C:H / I:H / A:H | 機密性・完全性・可用性 = すべて高 | 全部読まれ・書かれ・止められる |
“10.0”と“9.8”を分けるもの
上の例で影響範囲が「変化なし(S:U)」になると、同じ条件でもスコアは 9.8 に下がります。S:C(箱を越える)かどうかが、最高点 10.0 に届くかの分かれ目です。だから 9.8 と 10.0 は「どちらも最悪クラスだが、被害の広がり方が一段違う」と読めます。
v3.1 と v4.0:今は両方が混在している
CVSS にはバージョンがあり、現行最新は v4.0(2023年公開)。ただし世の中のCVEはまだ v3.1(2019年) で点数が付いているものが大半で、当面は混在します。
| CVSS v3.1 | CVSS v4.0 | |
|---|---|---|
| 公開 | 2019年 | 2023年 |
| 表記 | スコア + ベクター | CVSS-B / BT / BE / BTE と用途を明示 |
| 利用者関与(UI) | 不要 / 必要 の2段階 | 不要 / 受動 / 能動 の3段階に細分化 |
| 影響範囲 | Scope(S) 1項目 | 「被弾システム」と「波及先システム」を分けて評価 |
| 補足情報 | なし | 自動化可否・復旧性・安全性などの参考指標を追加 |
スコアだけに振り回されない
採点基準が分かると、CVSS は強力な道具です。ただし点数は 「最悪条件での理論値」 であることを忘れないでください。実務の優先度は、スコアに次の2点を掛け合わせて決めると現実的です。
実際に悪用されているか(KEV)を見る
攻撃が現実に観測されている脆弱性(KEV=Known Exploited Vulnerabilities)は、スコアの高低に関わらず最優先。理論値よりも「今、撃たれているか」が重い。
自分がその機能を使っているか確認する
CVSS 10.0 でも、該当する機能やコンポーネントを使っていなければ実被害は小さい。逆に中スコアでも、自分の本番で確実に踏むなら最優先。「実際に動いているバージョン」で判定するのが鉄則。
実例:公開済みの CVSS 10.0 を「自分には関係ない」と放置した結果、踏まれて不正課金に至った事故があります。スコアは“放置していい理由”にはなりません。→ 放置した CVSS 10.0 の話
次に読む
- 用語:CVE とは(脆弱性に付く“通し番号”) / RCE とは(最悪クラスの被害)
- 対策:CVE/CVSS を運用に組み込む(依存の機械監視)
- 事故:公開済み CVSS 10.0 を放置して不正課金された話
よくある質問
QCVSSに採点基準はあるの?感覚で決めてる?
明確な基準があります。攻撃元区分(AV)・攻撃複雑性(AC)・必要権限(PR)・利用者関与(UI)・影響範囲(S)・機密性/完全性/可用性(CIA)という決められたメトリクスを選び、公開された計算式に通して0.0〜10.0を算出します。誰が評価しても同じ入力なら同じ点数になるよう設計された、再現性のある仕組みです。
Q誰がスコアを決めているの?
規格自体は FIRST(世界的なインシデント対応組織の集まり)が策定・公開しています。個々のCVEの点数は、米国のNVD(NIST)やベンダー(製品提供元)が、規格のメトリクスに沿って付けて公表します。同じ脆弱性でも評価者によって少し点数が違うことがあります。
QCVSSは何点から危険?
目安は 9.0〜10.0 がCritical(最重大)、7.0〜8.9 がHigh(高)、4.0〜6.9 がMedium、0.1〜3.9 がLow です。ただしスコアは『最悪条件での理論値』なので、自分の環境で本当に該当するかも合わせて判断します。
QCVSSが高ければ必ず最優先で直すべき?
基本はYesですが、より重要なのは『実際に悪用が観測されているか(KEV)』と『自分がその機能を使っているか』です。CVSS 10.0でも未使用なら影響ゼロのこともあり、逆に中スコアでも悪用中なら最優先です。
Qv3.1 と v4.0、どっちを見ればいい?
現行最新は2023年公開の v4.0 ですが、世の中の多くのCVEはまだ v3.1 で点数が付いています。当面は両方が混在します。読み方の基本(メトリクスから計算式で0〜10)は共通なので、本記事の考え方はどちらにも使えます。