CVSS 計算ツール

CVSS スコアとは何ですか？

CVSS（Common Vulnerability Scoring System）は、ソフトウェアの脆弱性の深刻度を評価する標準化された方法です。複数の影響と悪用可能性の要因に基づいて 0.0 から 10.0 のスコアを出力します。

使い方

1. 各ベクター（AV、AC、PR など）の値を選択します。

2. ベーススコアとベクター文字列が自動的に計算されます。

3. セキュリティレポートや監査にコピーして使用します。

ユーザー操作（UI）

ユーザー操作メトリクスは、脆弱性が独立して悪用できるか、それともユーザーが積極的に関与する必要があるかを測定します。

• なし：「なし」に設定されている場合、攻撃者は他者の助けを必要としません。ユーザーの関与なしに脆弱性を引き起こすことができ、リスクが高まります。

• 必要：「必要」が選択されている場合、正規ユーザーがリンクのクリックやメール添付ファイルを開くなどの特定のアクションを最初に実行した場合にのみ悪用が可能です。このユーザー依存性により、攻撃の成功率が低下することがあります。

可用性（A）

CVSS v3.1 の可用性を評価する際は、システムの稼働時間とリソースアクセスへの影響レベルを表す3つの階層から選択します。

• 高（最悪）：攻撃者が対象コンポーネントのリソースへのアクセスを完全に防ぐことができます。攻撃が続く限り、または攻撃終了後も継続して、正規ユーザーへの完全なアクセス遮断が生じます。

• 低（悪い）：パフォーマンスが低下したりリソースの可用性に断続的な障害が発生したりする可能性があります。サービスは完全に停止しませんが、速度低下や部分的な停止が生じることがあります。

• なし（良い）：システムの稼働時間やリソースへのアクセスには影響がありません。

完全性（I）

CVSS v3.1 の「完全性」メトリクスを評価する際は、攻撃者が保護されたデータやシステムリソースをどの程度改ざんできるかを確認します。

• 高: 最悪のシナリオです。攻撃者は任意のデータを自由に変更したり、重大な結果をもたらす変更を行ったりできます。

• 低: 攻撃者が無許可の変更を行える可能性がありますが、変更できる範囲は限られており、即座に深刻な影響をもたらさない可能性があります。

• なし: 攻撃者がデータを改ざんする機会はなく、完全性は維持されます。

各攻撃ベクターと権限要件の例

攻撃ベクター（AV）

攻撃ベクターは、攻撃者が脆弱性を悪用できる方法を説明します。

• ネットワーク：攻撃者がインターネット経由でウェブサーバーを侵害するような典型的なリモートエクスプロイトです。ネットワークアクセスさえあれば、どこからでも攻撃が可能です。

• 隣接：攻撃者が同じローカルネットワークまたは限られた管理ドメイン内にいる必要があります。Wi-Fi ベースの攻撃や共有 VPN 経由で広がるエクスプロイトなどが例として挙げられます。

• ローカル：攻撃者がすでにシステムへのアクセス権を持っている必要があります。ログイン済みユーザーをだましてメール経由で悪意のあるファイルを開かせるなどが例として挙げられます。

• 物理的：攻撃者がハードウェアに直接アクセスする必要があります。不正な USB デバイスを接続してダイレクトメモリアクセスを悪用するなどが例として挙げられます。

権限要件（PR）

権限要件（PR）メトリクスは、攻撃者が特定の脆弱性を悪用するために脆弱なシステムに対して必要なアクセスレベルを説明します。

• なし：攻撃者は認証やログインを必要としません。たとえば、インターネット上の誰もが特別な権限なしに攻撃を開始できる公開ウェブアプリケーションの脆弱性を悪用する場合です。

• 低：攻撃者は管理権限のない通常のアカウントなどの基本的なユーザー権限が必要です。

• 高：攻撃が発生する前に重要なシステム権限が必要です。管理者やroot ユーザーのみがアクセスできる脆弱性を悪用するケースが典型例です。

攻撃の複雑さ（AC）

低：攻撃に必要な労力が最小限で、特殊なアクセスや稀な条件は存在しません。攻撃者は脆弱なコンポーネントを標的にした場合に繰り返し成功することが期待できます。

高：攻撃の成功は一筋縄ではありません。攻撃者の直接的な制御外の要因に依存し、脆弱なコンポーネントへの攻撃に成功する前に相当な準備や特定の状況が必要です。

CVSS v3.1 における機密性への影響の分類

CVSS v3.1 では機密性への影響を3つのレベルに分類します。

• 高：最悪のシナリオです。機密データが完全に攻撃者に露出します。管理者パスワードや秘密の暗号化キーが漏洩するようなケースが該当します。

• 低：攻撃者が機密情報への一部のアクセス権を得ますが、限定的です。漏洩したデータが即座に重大な結果をもたらさない場合です。

• なし：機密情報は侵害されず、すべてが保護されたままです。

CVSS v3.1 における直接的影響と間接的影響

CVSS v3.1 は機密性、完全性、可用性の各カテゴリについて、直接的影響と間接的影響を区別します。

• 直接的影響：攻撃者のアクションがコンポーネントに即座かつ深刻な影響を与える場合です。管理者パスワードや暗号化キーの取得、重要なファイルの意図的な改ざん、サービスの完全な停止などが例として挙げられます。

• 間接的影響：影響がそれほど直接的でなく深刻でもない場合です。攻撃者のアクセスが限定的で、断続的なパフォーマンスの問題や制限された変更が生じる程度であれば、間接的影響とみなされます。

CVSS v3.1 のスコープとは何ですか？「変更あり」と「変更なし」の違い

スコープは、脆弱性が悪用された場合に初期のセキュリティ権限が管理するものにのみ影響するか、その境界を超えるかを説明します。

• 変更なし：悪用された脆弱性は同じセキュリティ権限が管理するリソースにのみ影響します。

• 変更あり：悪用された脆弱性が脆弱なコンポーネントのセキュリティ権限の範囲外のリソースに影響します。影響を受けるコンポーネントと脆弱なコンポーネントが異なり、別々の権限機関によって管理されている可能性があります。

主な機能

• CVSS v3.1 スコアリングをサポート

• 動的ベクター文字列の生成

• リアルタイムスコア更新

• 迅速なセキュリティ評価のためのシンプルな UI

• コンプライアンス、DevSecOps、バグバウンティ提出に最適

出力例

深刻度スコアベクター：

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

スコア: 9.8 - 緊急

CVSS v3.1 における「最悪」「悪い」「普通」「良い」の意味

CVSS v3.1 フレームワーク内では、「最悪」「悪い」「普通」「良い」という用語が各メトリクスの相対的な深刻度または望ましさを説明します。

• 最悪：特定のメトリクスで最も深刻または懸念される選択肢を示します。インターネット経由でアクセス可能な脆弱性のように、リスクが最高レベルであることを意味します。

• 悪い：「最悪」の直下の深刻度です。インターネット全体ではなくネットワーク隣接に限定されるなど、到達範囲が限られますが依然として危険です。

• 普通：意味のある否定的な影響やバリアを示しますが、「最悪」や「悪い」ほど深刻ではありません。ローカルアクセスや特別な権限が必要な場合などが該当します。

• 良い：そのメトリクスで最も有利または安全なシナリオを表します。リスクや影響がほとんどまたはまったくありません。

主なユースケース

• ペネトレーションテストとレッドチーミング

• DevSecOps セキュリティゲート

• ソフトウェアパッチの優先順位付け

• セキュリティコンプライアンス（ISO 27001、SOC 2）

• バグバウンティ提出

おすすめの補完ツール

• パスワードジェネレーター - endpoint のセキュリティ強化

• トークンジェネレーター - API シミュレーション

• UUID ジェネレーター - バグ追跡における一意の ID 生成

• IP アドレスジェネレーター - ネットワークシミュレーション