FIRST (Forum of Incident Response and Security Teams)は11月1日(米国時間)、「FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)」において、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)バージョン4.0のリリースを発表した。主な変更点は、新しい命名法の追加、新しい基本メトリクスと値の追加、影響メトリクスの開示の強化などとなっている。

  • FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)

    FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0)

共通脆弱性評価システム(CVSS)は、脆弱性の主な特徴から深刻度を反映した数値スコアを作成する方法を提供する仕組み。この数値スコアにより脆弱性の定性的な表現(低、中、高、重要など)を可能にするとともに、組織の脆弱性管理プロセスの適切な評価と優先順位付けを支援する。今回リリースされた共通脆弱性評価システムバージョン4.0の仕様の詳細や計算ツール、オンライントレーニングなどは「Common Vulnerability Scoring System SIG」から閲覧することができる。

共通脆弱性評価システムバージョン4.0では新しい命名法として、次の4つが導入された。

  • CVSS-B - 基本評価基準(Base metrics)
  • CVSS-BE - 基本評価基準と環境評価基準(Environmental metrics)
  • CVSS-BT - 基本評価基準と脅威評価基準(Threat metrics)
  • CVSS-BTE - 基本、脅威、環境評価基準

これら命名法はCVSSスコアを表示または通知する場合に必ず使用する必要がある。また、最終スコアの計算においては、基本、脅威、環境評価基準が常に考慮される必要があり、脅威、環境評価基準を選択しない場合においてもこれらのデフォルト「Not Defined(未評価)」値を使用して完全なスコアを得られるという。なお、CVSS-Bスコアはリスク評価に単独で使用するべきではないと強調しており、脅威、環境評価基準によって補足する必要があるとのこと。

新しい基本メトリクスとしては、攻撃の実行条件(AT)が追加された。従来の攻撃の複雑さ(AC)を正しく評価するために、攻撃の複雑さ(AC)と攻撃の実行条件(AT)の2つのメトリクスに分割された。また、ユーザー関与レベル(UI)値が従来の「要(R)」「不要(N)」から「アクティブ(A)」「パッシブ(P)」「なし(N)」の3値に変更となった。新しい評価ガイダンスではスコープの概念が廃止され、脆弱なシステム(VC、VI、VA)と、後続のシステム(SC、SI、SA)に置き換えられた。

FIRSTはサイバーセキュリティの脅威が世界中で急速に増す中、インターネットをすべての人にとって安全なものとするために世界的な協調が必要であり、共通脆弱性評価システムバージョン4.0の策定は不可欠だとしている。このアップデートにより、世界中のサイバーセキュリティおよびインシデント対応チームからこれまでよりも現実的なリスク評価が提供され、消費者がより正しく攻撃から身を守るための情報を得られるようになることが期待されている。