共通脆弱性評価システム (CVSS)

組織が直面する脆弱性はあまりにも多く、すべてを修正することはできません。 

NIST は最近、2024 年に報告された脆弱性は前年より 32% 多かったと発表しており、この傾向は 2025 年いっぱい続くと予想しています。 

2024 年には、CVE (共通脆弱性識別子)も同様に増加しました (20%)。 そして、2025 年 5 月末までに、米国の CVE データベースには 28 万件以上の CVE が登録されました。

このような驚異的な数の脆弱性すべてに対処することは不可能です。対処する必要もありません。 

実際に必要なのは、最重要事項に集中する方法です。 

そこで役立つのが CVSS です。

共通脆弱性評価システム (CVSS) は、脆弱性の技術的な深刻度を評価します。

FIRST によって管理されている CVSS では、悪用される可能性と影響度の指標を組み合わせて使用し、各脆弱性に 0.0 から 10.0 までのスコアを割り当てます。 これらのスコアは、優先順位をつけてリスクを伝達するのに役立ちます。

CVSS スコアは、ほとんどの脆弱性スキャナー、脅威アドバイザリ、パッチ管理ワークフローに組み込まれています。 これにより、セキュリティ担当部門は、システム間およびベンダー間で、脆弱性を一貫した手法で比較できます。 

CVSS は基盤となるスコアリング手法です。しかし、CVSS だけでは十分とはとても言えません。

CVSS では、自組織の環境内で何が実際に悪用される可能性があるかを知ることはできません。 ビジネスリスクが考慮されておらず、 また、攻撃者の挙動に適応しないからです。 

そのため、Tenable は CVSS を出発点として使用した上で、これを土台とし、Tenable One を通じて脆弱性優先度格付け (VPR)、リアルタイムの脅威シグナル、クラウドアイデンティティの文脈、統合スコアリングなどを付加しています。

次に、CVSS の仕組みと短所、そして脆弱性管理に対するよりスマートなリスクベースのアプローチの中で CVSS を使用する方法について、詳しく説明します。

CVSS スコアでは、基本、現状、環境の評価基準を標準化した計算式が使用されます。

基本評価基準

以下のような、脆弱性の固有の特性が含まれます。

• 攻撃元区分 (AV)
  • 攻撃者がネットワークを介して、ローカルで、あるいは物理的に脆弱性を悪用できるかどうか 
  • リモートの不備 (AV: N) がある場合、スコアは高くなる
• 攻撃条件の複雑さ (AC)
  • 悪用するために、特異な設定やタイミング、通常と異なるシステムの状態が必要かどうか
• 必要な特権レベル (PR)
  • 攻撃者が脆弱性を悪用できるようになるために、どの程度のアクセス権が必要なのか
• ユーザー関与レベル (UI)
  • 攻撃の実行には、ユーザーによるリンクのクリック、ファイルのオープンなどのアクションが必要となるかどうか
• スコープ (S)
  • 脆弱性はそのコンポーネントだけに影響するのか、それとも境界を越えて影響するのか
• 影響 (CIA)
  • 機密性 (C)、完全性 (I)、可用性 (A) の損失を測定する

現状評価基準

以下によって、現在のエクスプロイト状況に基づいてスコアを調整します。

• エクスプロイトコードの成熟度
  • 公開されたエクスプロイトコードがあるかどうか
• 利用可能な対策のレベル
  • パッチが利用可能かどうか
• 脆弱性情報の信頼性
  • 脆弱性がどの程度検証されているのか

環境評価基準

以下によって、自組織の環境に応じてスコアを修正します。

• セキュリティ要求度
  • 機密性、完全性、可用性がビジネス上どの程度重要か
• 基本評価指数の調整
  • 制御や修正によって深刻度が軽減された場合に使用

深刻度範囲

CVSS スコアは、以下の深刻度範囲に分類されます。

• なし (0.0)
• 注意 (0.1～3.9)
• 警告 (4.0～6.9)
• 重要 (7.0～8.9)
• 緊急 (9.0～10.0)

CVSS を最新の脆弱性管理プログラムにどのように組み込むことができるかについては、 Tenable Vulnerability Management が静的スコアリング (CVSS) と自動化対応の優先順位付けをどのように組み合わせているかでご覧いただけます。

CVSS は、深刻度を表すための共通言語を提供します。 理論上は、CVSS を利用すると、セキュリティ部門はトリアージを行えるようになり、インフラ部門は優先順位を付けられるようになり、経営陣は重要事項を把握できるようになるはずです。

全員が同じスコアを基に働けば、以下が可能になります。

• パッチ適用のためのしきい値の自動設定
• 深刻度レベルに基づいたサービスレベルアグリーメント (SLA) の設定
• ダッシュボードとレポートの標準化
• リスクに関する共通の定義に基づいた、修正担当部門間の調整

しかし、深刻度はリスクとは異なります。 CVSS では、以下はわかりません。

• 攻撃者が自組織の環境内で脆弱性を悪用できるかどうか
• 自組織の最重要資産に影響を及ぼすかどうか
• 攻撃者が脆弱性を積極的に利用しているかどうか

ここで状況を一変させるのが、VPR (脆弱性優先度格付け) です。

CVSS では脆弱性がどの程度悪質である可能性があるかを知ることができますが、リスクベースの優先順位付けでは、最初に何を修正すべきかがわかります。 この違いは極めて重要です。

Tenable は、CVSS をベースラインとして使用したうえで、それに VPR を重ねて以下を理解できるようにします。

• 攻撃者がこの脆弱性を悪用しているか
• 脆弱性によってビジネスクリティカルなシステムが脅威にさらされているか
• 脆弱性は外部から到達可能か
• 攻撃者がその脆弱性を権限昇格やラテラルムーブメントの経路の一部として使う可能性があるか

Tenable VPR には以下が含まれます。

• 実際のソースから得た、エクスプロイト可用性とエクスプロイト活動
• 脅威インテリジェンスおよび攻撃者の挙動のマッピング
• ビジネス上の重要性に基づく資産の重要度
• アイデンティティの悪用やクラウド設定のリスクを含むエクスポージャー経路
• 例:
  • CVSS によると、ある脆弱性のスコアは 9.8 です。 CVSS スコアのみを使用している場合には、直ちにこの脆弱性に対処すべきだと思うでしょう。 
  • VPR での評価は異なります。 VPR によれば、この脆弱性はユーザーデータのない内部テストサーバーに影響を与えるものであり、攻撃者がこの脆弱性を悪用した場合の影響は限定的です。 すると突然、CVSS が 9.8 の脆弱性にそれほど緊急性があるとは思えなくなります。
  • 一方、VPR は CVSS スコアがより低い脆弱性にフラグを立てています。その脆弱性は顧客記録に結びついた公開ワークロード上にあり、攻撃者によって積極的にスキャンされているため、CVSS スコアがもっと高い脆弱性よりも高く優先順位付けされます。

これが、リスクベースの優先順位付けとスコアリング手法の価値であり、CVSS を単独で使うべきではない理由です。

Tenable の VPR (脆弱性優先度格付け) が、CVSS を基盤として、悪用される可能性、攻撃者の挙動、資産の重要性をどのように加味しているかをご覧ください 。

最新のクラウド環境では、CVSS だけを使用すると危険な誤解を招きかねません。 

クラウド資産は動的です。 ワークロードは、分単位で起動しては停止します。 10 分で消えてしまうコンテナのリスクは、永続的なデータベースサーバーと同程度ではありません。

攻撃経路はアイデンティティに依存します。 高い権限を付与されたロールに関連した資産に存在する深刻度が中程度の脆弱性は、孤立したエンドポイントに存在する深刻度の高い問題よりも危険である可能性があります。

特にクラウドでは、設定ミスがエクスポージャーのリスクを増大させます。

CVSS では、以下が考慮されていません。

• クラウド固有の設定ミス
• 過度に露出したアイデンティティ
• ネットワーク到達性とラテラルムーブメント
• 価値の高いデータを一時的に公開する一時的な資産

ここで、役に立つのが重要な文脈を追加するTenable Cloud Security です。 CVSS スコアとリアルタイムのクラウド態勢が統合されて、次のことを可能にします。

• どの脆弱性が外部に露出しているかを確認する
• どのアイデンティティがそれらにアクセスできるかを把握する
• クラウドとオンプレミスのインフラにまたがる連鎖リスクを検出する

CVSS は、「これは重大な欠陥だ」と知らせてくれます。

Tenable は、「これは公開された、悪用可能な重大な欠陥であり、管理者認証情報と結びついている」と知らせます。

それが、最初に修正するべき脆弱性です。

Tenable Cloud Security は、CVSS、クラウドの設定ミス、IAM のリスクを結びつけ、 継続的な文脈により、クラウドのアタックサーフェスを保護します。

CVSS は、脆弱性の優先順位付けというパズルの 1 つのピースに過ぎません。 他の一般的なモデルと比較してみましょう。

エクスプロイト予測評価システム (EPSS)

EPSS は、攻撃者が今後 30 日以内に脆弱性を悪用する可能性を推定します。 これは確率を表すスコアであり、深刻度に基づくものではありません。

• EPSS に付加されるもの: 攻撃者の挙動と統計モデリング
• EPSS に欠けているもの: ビジネスへの影響や環境的な文脈を反映しない
• どのように CVSS と連携できるか: 両者を組み合わせると、 CVSS は脆弱性の悪質さを、EPSS は悪用される可能性を示します。

EPSS による悪用の可能性が 94% で CVSS が 6.8 の脆弱性は、おそらく、攻撃者が一度も悪用したことのない CVSS 9.8 の脆弱性よりも緊急性が高くなります。

共通脆弱性識別子 (CVE)

CVE は識別子であり、スコアではありません。 ツール、ベンダー、アドバイザリを横断して特定の脆弱性を追跡するのに役立ちます。

• CVE に付加されるもの: 一貫した追跡と文書化
• CVE に欠けているもの: リスクについて何も教えてくれない
• どのように CVSS と連携できるか: CVE (何が) と CVSS (どの程度悪質なのか) を組み合わせます

OWASP リスク評価

主にアプリケーションのセキュリティにおいて使用されている OWASP のモデルは、CVSS などよりも手作業の度合いが高い、主観的なものです。 検出される可能性、悪用しやすさ、影響を評価するもので、モデリングには非常に有効ですが、大規模な優先順位付けにはそれほど適していません。

では、何を使うべきでしょうか。

CVSS + VPR + EPSS + 資産の文脈によって、リスクの状況をより完全に把握できます。 

Tenable One は、このモデルを使用して深刻度、可能性、ビジネスへの影響、エクスポージャーを、優先順位付けされた単一の画面に統合して表示します。

脆弱性管理は特定から始まりますが、その後の工程が重要です。 

検出ツールが脆弱性を発見したら、その深刻度を評価し、対応に優先順位をつけるための方法が必要になります。 

そこで中心的な役割を果たすのが、脆弱性のスコア付けです。

CVSS は長年、脆弱性スコアリングの中核でありました。 CVSS は、悪用される可能性と影響度に基づいて深刻度レベルを割り当てる一貫した方法を提供します。 また、ダッシュボード、パッチ適用の SLA、エスカレーションルール、修正計画などを強化します。

しかし、最新の脆弱性管理には、以下のように、技術的な深刻度以上のものが求められます。

• 攻撃者がその脆弱性を実際に悪用しているかどうかを知る必要がある
• 脆弱性がビジネスクリティカルなシステムに影響を及ぼすか、または機密データを脅威にさらすかを判断する必要がある
• 理論的なスコアではなく、現実のリスクに合わせて修正を行う必要がある

そのため Tenable では、CVSS をより広範なリスクベースの脆弱性管理アプローチに統合しています。 

CVSS と VPR を組み合わせ、Tenable One でスコアリングを拡張することで、CVSS の数値が高い脆弱性に集中する状態から、悪用可能なもの、外部に露呈したもの、重要なものに対処することに移行できるようになります。

脆弱性スコアリングは中核的な手法であり、今や動的なシステムの一部となり、攻撃者の挙動やビジネスニーズに適応しています。

脆弱性のスコアリングは有益ですが、その脆弱性がどのようにエクスポージャーに寄与しているかを理解しなければ、問題の一部しか解決されません。

エクスポージャー管理は、予防可能なすべてのリスク (脆弱性、設定ミス、過剰な権限) をまとめて確認することで、攻撃者が悪用し、ビジネスの中断や機密データの流出といった形で最大の損害を引き起こす可能性のある攻撃経路を特定します。

また、エクスポージャー管理は、セキュリティ態勢を弱体化させる条件も特定し、軽減します。 そのような条件には、脆弱性に加えて以下が含まれます。

• クラウドサービスの設定ミス
• 過剰な権限を持つアイデンティティ
• 安全でない外部資産
• オープンポート、期限切れの証明書、忘れられた API

この文脈において、CVSS スコアリングはベースラインとなる脆弱性の深刻度を提供しますが、Tenable は、スコアリングをより広範で継続的なエクスポージャー管理フレームワークに統合することで、さらに発展させます。 

ここで、Tenable One は脆弱性リスクと実際のエクスポージャーを結びつけます。

以下に例を示します。

• CVSS が 5.5 の脆弱性は、単独では無視されるかもしれません。しかし、IAM の制御が脆弱な、インターネットに露出したシステムと結びついている場合、Tenable One はこの脆弱性を高リスクと判断します。
• 逆に、CVSS が 9.8 でも組織にとって重大なエクスポージャーが生じなさそうであれば、その脅威の文脈が変わらない限りは、優先順位を下げることができるかもしれません。

このようなスコアリングとエクスポージャーインテリジェンスの統合により、以下が可能になります。

• リスクの高い攻撃経路を生み出す脆弱性に修正を集中する
• 技術的な欠陥が、アイデンティティリスクやネットワーク態勢とどのように交差しているかを可視化する
• CVSS スコアによる報告とは対照的に、真のアタックサーフェスリスクの低減を測定して報告する

スコアリングがエクスポージャー管理の一部となれば、それは単なる数字ではなく、行動を促す信号となります。

多くのコンプライアンスフレームワークでは、CVSS を利用して脆弱性管理の要件を定義して実行していますが、CVSS をどのように適用するかは規制機関によって異なります。

コンプライアンスにおける CVSS 利用の例

• PCI DSS v4.0 では、CVSS スコア 7.0 以上の脆弱性を定められた期間内に修正することが義務付けられています。
• HIPAA は、特定の CVSS スコアの脆弱性を特定の期間内に対応することを義務付けてはいませんが、CVSS を用いたリスク評価は、対象となる事業体のセキュリティプログラムの一部として広く受け入れられています。
• NIST 800-53 と NIST サイバーセキュリティフレームワークは、脆弱性の追跡と修正対応のために、制御を CVSS ベースのしきい値にマッピングします。
• ISO/IEC 27001 では、Annex A.12.6.1 (技術的脆弱性管理) において、CVSS をリスク評価のツールとして認定しています。

監査員は CVSS を以下のために使用します。

• 脆弱性をトリアージし、定義されたしきい値に基づいて対処したことを確認する
• 重要/緊急のスコアに対して SLA が設定されていることを確認する
• 修正のスケジュールを遵守し、追跡していることを確認する
• 未解決の問題に対する補完コントロールまたはリスク許容の文書化を支援する

例: 四半期ごとの監査で、CVSS 7.0 以上の脆弱性のほとんどについて、30 日以内にパッチを適用した、または正式にリスクを容認したという証拠を要求されるかもしれません。

Tenable One で、CVSS を資産の重要度や悪用される可能性のシグナルと重ねることで、完全な修正が不可能な場合でも、コンプライアンスの意図を満たすリスクベースの例外の正当性を説明することができます。

CVSS はコンプライアンスの保護を可能にします。 Tenable はその実行を可能にします。

多くの組織が CVSS を採用していますが、これを効果的に使用するのは困難です。 これは特に、複雑なアタックサーフェスが存在し、 IT 、セキュリティ、コンプライアンスを担当する複数の部門を抱える大企業に当てはまります。 

しかし、小規模な組織であっても、同様の問題に直面することは少なくありません。

ここでは、CVSS の実装における 5 つの一般的な課題と、それを克服する方法を紹介します。

1.ツール間のスコアの不一致

問題: 診断ツールが異なると、同じ脆弱性に対して異なる CVSS のスコアやベクトルが割り当てられることがあり、どのスコアを信用すべきか混乱します。

解決策: 信頼できる単一のフィード (例: National Vulnerability Database (NVD)) を使用して環境全体でスコアを標準化し、ベクトル文字列を検証します。 Tenable が使用する統合データモデルは、ツールや環境をまたいで検出結果を連結させることによって、相違を解消します。

2. 優先順位付けにおける CVSS への過度の依存

問題: CVSS は深刻度の尺度であり、悪用される可能性、到達可能性、ビジネスへの影響の尺度ではありません。 CVSS スコアの高い脆弱性だけにパッチを適用していると、多くの場合、真のリスクを見逃してしまいます。

解決策: VPR、エクスプロイトデータ、資産の重要度などの、Tenable One から得られた動的なリスクシグナルを使用します。 悪用される可能性やエクスポージャーの文脈と CVSS を組み合わせることで、真の重要事項に注力できます。

3. 環境指標の軽視

問題: 多くの組織では、CVSS をカスタマイズして自組織のセキュリティ優先度を反映させる作業を省略しているため、優先順位付けが不正確になります。

解決策: 環境スコアのポリシーを確立します。 例えば、(医療業界などにおいて) 可用性がミッションクリティカルである場合、CVSS 計算式をカスタマイズして、重み付けします。 Tenable を使用すれば、スコア調整を自動化できます。

4.  担当部門のサイロ化とツールの断片化

問題: スコアリングロジックや可視性が共有されていないと、セキュリティ、インフラ、コンプライアンスの各担当部門はそれぞれのサイロの中で活動することになります。 そして、優先順位付けが主観的になったり、重複したりします。

解決策: Tenable One によって可視性を一元化します。 Tenable One は、CVSS を組み込んでさらに発展させたダッシュボードとアラートだけでなく、クラウドエクスポージャー、アイデンティティのアクセス経路、ラテラルムーブメントのリスクなどにすべての担当部門が対処できるようにするための信号を提供します。

5. CVSS の拡張には文脈が必要

企業の環境において、CVSS は以下との組み合わせによって真価を発揮します。

• 脅威インテリジェンスとエクスプロイト予測
• AI と分析による誤検出の削減
• ビジネスへの影響のスコアリング
• リアルタイムのクラウドの文脈と資産の価値

Tenable は、静的なスコアリングを動的なリスクベースの優先順位付けエンジンに変えることで、これらすべてを提供します。

Tenable One は、CVSS が提供する基盤に、実際のシグナル、資産のインテリジェンス、およびビジネス面の文脈を組み合わせて、組織にとっての実際の重要事項に優先順位を付けるよう設計された統合スコアリングモデルを作成します。

静的な CVSS スコアでは不十分な理由は以下の通りです。

• どんな環境でも同じように扱う
• どのシステムが公開されているかわからない
• 攻撃者が積極的に脆弱性を悪用しているかどうかを考慮していない
• 資産の価値、権限レベル、攻撃経路を考慮していない

CVSS はこう言います。 「これは技術的な深刻度が高い脆弱性です」

Tenable One は次のように尋ねます。 「この脆弱性は、今現在、技術的に深刻で、悪用可能で、外部に露出し、ビジネスクリティカルなものですか?」

Tenable One のスコアリングには以下が含まれます。

スコアリングの例: 実際の優先順位付け

AWS 環境で、以下のような 120 件の脆弱性が検出されたとします。

• 45 件の CVSS スコアは 7.0～9.8
• Tenable One は、実際のシグナルに基づいて 22 件を高リスクと判定
• 最も機密性の高いワークロードや公開されたクラウドアイデンティティと交差するものは 7 件のみ

Tenable One の主な機能は次のとおりです。

• 実際にリスクを生み出している 7 件に焦点を当てる
• アラート疲れとパッチのバックログを軽減する
• 収益の損失と評判の失墜という、経営陣が真に懸念している事項に沿って修正を行う

Tenable One は CVSS に取って代わるものではなく、 CVSS を強化するものであり、スコアだけでなく文脈を使用して意思決定を後押しします。

静的なスコアリング手法を卒業したいとお考えであれば、 Tenable One によって可視性を一元化し、エクスポージャー、悪用される可能性、ビジネスへの影響に基づいて優先順位付けを行いましょう。

CVSS スコアとは何ですか?

CVSS スコアとは、標準化された指標に基づき、ソフトウェアの脆弱性の技術的な深刻度を 0.0 から 10.0 までの数値で評価したものです。

CVSS はリスクと同じものですか?

いいえ。CVSS が示すのは深刻度であり、可能性やビジネスへの影響ではありません。 リスクは、悪用される可能性、エクスポージャー、文脈によって決まります。

CVSS と EPSS の違いは何ですか?

CVSS は脆弱性の深刻度を測定します。 EPSS は、攻撃者が今後 30 日以内に脆弱性を悪用する可能性を推定します。 両方を使用すると、より良い優先順位付けを行えます。

CVSS スコアはカスタマイズできますか?

はい。環境メトリクスを適用することで、その環境に特有の重要度や補完コントロールに合わせて調整することができます。

CVSS スコアリングはツールによって異なりますか?

その可能性はあります。 CVSS ベクトルの解釈は主観的なものです。 数値スコアだけでなく、常にベクトル文字列全体を確認する必要があります。

CVSS はコンプライアンス監査で受け入れられるのでしょうか?

はい。CVSS スコアリングは、PCI DSS、NIST、ISO 27001、その他多くのフレームワークで認められています。 多くの場合、パッチの SLA やリスクのしきい値を定義するために使用されます。

DevSecOps のワークフローで CVSS を使用できますか?

はい、そのとおりです。CI/CD パイプラインで CVSS を使用して、ビルドをブロックしたり、自動修正をトリガーしたり、SLA を適用したりできます。

CVSS の最新バージョンは何ですか?

FIRST は 2023 年に CVSS v4.0 をリリースし、より詳細な評価と自動化のサポートを提供しています。 現在でも CVSS v3.1 が広く使用されています。

CVSS スコアはどこで計算できますか?

公式の CVSS 計算システムを使用して、基本、現状、環境の値を入力します。

CVSS 評価とは何ですか?

CVSS 評価とは、既知の脆弱性に CVSS メトリクスを適用して深刻度スコアを算出するプロセスであり、トリアージやコンプライアンスの目的で使用することができます。

CVSS 認定とは何ですか?

CVSS の正式な認定資格はありませんが、多くのセキュリティ認定やコース (例: Certified Information Systems Security Professional (CISSP)) には、脆弱性分析トレーニングの一環として CVSS スコアリングが含まれている場合があります。

CVSS テストとは何ですか?

CVSS テストでは通常、担当部門がどのように脆弱性をスコア化するか、あるいは確認するかをテストします。 また、CVSS 計算機を使って潜在的な影響をシミュレートすることもあります。

CVSS 脆弱性とは何ですか?

CVSS 脆弱性とは、一般に公開されている脆弱性を CVSS フレームワークを用いて分析してスコアリングしたもので、通常 CVE ID が付与されています。

CVE と CVSS の比較: 違いは何ですか?

CVE は、特定の脆弱性を追跡するための識別子です。 CVSS は、その深刻度を評価するスコアリングシステムです。

CVSS は重要な出発点ですが、最終的な答えではありません。

CVSS は、技術的な専門知識に関係なく、誰もが理解できる方法で、システム全体で一貫して脆弱性の深刻度を測定する手段を提供します。

しかし、今日のアタックサーフェスはクラウド、アイデンティティ、OT、一時的な資産にまで及んでおり、適応可能なスコアリングモデルが必要とされています。 そのモデルは、理論的な影響度だけでなく、エクスポージャーを確認するものであり、 尺度上の数字ではなく、ビジネスリスクに基づいて優先順位をつけるものです。 

それを提供するのが Tenable One です。

CVSS は、脆弱性がどの程度悪質である可能性があるかを教えてくれます。 Tenable One は、最初に何を修正すべきかを教えてくれます。