CVSS Version 4.0 が公開:CVSS 3.1 に対する批判への対処が目的

New CVSS Version Unveiled Amid Rising Cyber Threats

2023/07/13 InfoSecurity — CVSS (Common Vulnerability Scoring System) の新バージョンである CVSS 4.0 が、Forum of Incident Response and Security Teams (FIRST) により 2023年7月13日に公開された。CVSSは、コンピュータ・システムのセキュリティ脆弱性の深刻度を評価するためのオープンな業界標準であり、組織における脆弱性管理プロセスの優先順位付けを支援するものだ。CVSS は、脆弱性の主要な特徴を捉え、その深刻度を示す数値スコアを作成する方法を提供している。


数値スコアは、質的な深刻度の評価値 (Low/Medium/High/Critical) の基礎としても用いられる。

CVSS バージョン 4.0 は、現在はパブリック・プレビュー・コメント期間中であり、その締切日は 2023年7月31日とされている。その後に、すべてのフィードバックは2023年8月31日までにレビューされ、対応される。

新バージョンは、2019年6月に発行された現行の CVSS 3.1 に対する批判に対処することを目的としている。その内容は以下の通りである:

  • Base メトリクスの粒度が不十分。
  • 標準は IT システムのみに適用され、OT/ICS/IoT などには適用されない。
  • ベンダーが公表するスコアが高めになり、Critical (+7.0) であることが多い。
  • Temporal メトリクスが最終的な CVSS スコアに効果的に影響しない。
  • Threat メトリクスが複雑すぎる。

CVSS 4.0 は、以下の変更点を導入することで、これらの問題に対処することを目指している:

  • CVSS は単なる基本スコアではないという概念の強化。
  • 新しい Base メトリクスと値の追加による粒度の詳細化。
  • Impact メトリクスの開示の強化。
  • Temporal Metric Group の名称を Threat Metric Group に変更。
  • 脆弱性の外在的な追加属性を伝えるための新しい Supplemental Metric Group。ただし、最終的な CVSS-BTE スコアに影響を与えない。
  • OT/ICS/Safety システムへのさらなるフォーカス。

新バージョンについて、FIRST の CEO である Chris Gibson は、「CVSS システムは、これまでの 18年間に急速に発展し、バージョンが更新されるごとにサイバー犯罪から身を守る能力を高めてきた。CVSS Special Interest Group (SIG) のコントリビューションと、バージョン 4.0 を作成するために多大な努力を、私は非常に誇りに思いう。また、世界中で脅威が大幅に増加し続けている中で、時宜を得たものである。会員組織としての FIRST の目標は、この分野に力を与え、リーダーシップを発揮し、サイバー攻撃から世界中の人々を守るために、協力する方法を継続的に改善することに専念することだ」と述べている。

CVSS の背景と開発

CVSS の最初のバージョンである CVSS v1 は、ソフトウェアやプラットフォーム全体の脆弱性測定を標準化する必要性を認識した少数の先駆者グループにり、2005年2月に発表された。そして 2005年4月には、非営利団体である FIRST が CVSS の管理者として任命され、将来の発展に備えることになった。

2005年以前は、ベンダーは脆弱性の深刻度を定義するために、互換性のないカスタム評価システムを使わざるを得なかった。

CVSS v1 は、2006年〜2007年において、CVSS-SIG の十数人の FIRST メンバーにより広範囲にテストされ、2007年6月の v2 の開発につながった。それにより、不一致が削減され、他の改善も行われたことで、精度が向上した。

2015年6月に発行されたバージョン 3.0 は、1つのソフトウェア・コンポーネントに存在するが、別のソフトウェア/ハードウェア/ネットワークなどのコンポーネントに影響を与える、脆弱性のスコアリングを扱うために Scope の概念を導入した。

2019年6月には 3.1 がリリースされ、規格の全体的な使いやすさを向上させるために、より明確な概念が提供された。しかし、新しいメトリクスや値は導入されていない。

脆弱性の深刻さを表すための、とても重要な指標である CVSS ですが、その数値だけでパッチの優先順位を決める訳にはいかないという、とても悩ましい問題を提起するものでもあります。原稿の Ver 3.1 が、新たな Ver 4.0 に進化することで、何が変わるのかという、大きな期待が寄せられているはずです。とても、楽しみですね。