CVSSとは | トレンドマイクロ (JP)

search close

テーマ别対策
- 课题别
  - 课题别
    - 课题别
      详しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象领域）の监视により、コンプライアンスに準拠します。
      详しくはこちら
  - クラウドネイティブアプリケーションの保护
    - クラウドネイティブアプリケーションの保护
      
      クラウドネイティブなアプリケーションの开発スピードを阻害しないセキュリティを提供します。
      详しくはこちら
  - ハイブリッドクラウド环境を保护
    - ハイブリッドクラウド环境を保护
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド环境をシームレスに保护しながら、クラウドの利点を実现します。
      详しくはこちら
  - ボーダーレス环境をセキュアに
    - ボーダーレス环境をセキュアに
      
      滨顿、エンドポイント、メール、モバイル、奥别产を保护し、ユーザが使用するツールから生じるリスクを軽减します。
      详しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工场フロアまで、ネットワーク全体を保护します。
      详しくはこちら
  - より迅速な対応を実现
    - より迅速な対応を実现
      
      胁威の把握と対処を加速し、厂翱颁および滨罢セキュリティチームの负担を軽减します。
      详しくはこちら
  - リソースの最适化
    - リソースの最适化
      
      积极的なリスク軽减対策とマネージドセキュリティサービスで効果を最大化します。
      详しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを强化するために
      详しくはこちら
- 役割别
  - 役割别
    - 役割别
      详しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      详しくはこちら
  - 厂翱颁责任者
    - 厂翱颁责任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象领域）のサイロ化、复雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      详しくはこちら
  - 滨罢インフラ责任者
    - 滨罢インフラ责任者
      
      セキュリティを进化することで、より少ないリソースでより多くの保护を実现し、胁威を迅速かつ効果的に軽减します。
      详しくはこちら
  - クラウド构筑者?开発者
    - クラウド构筑者?开発者
      
      セキュリティを强化しながら、革新的なアプリケーションをオンタイムで提供できます。
      详しくはこちら
  - クラウド运用者
    - クラウド运用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの复雑さを解决し、コンプライアンス顺守を支援します。
      详しくはこちら
- 业种别
  - 业种别
    - 业种别
      详しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      滨颁罢化や电子カルテの普及が进む中、闭じた环境での缓やかな境界防御ではなく、场面に応じたリスクマネジメントを実践していく必要があります。
      详しくはこちら
  - 自治体
    - 自治体
      
      住民个人情报や公司経営情报などの保护に充分な対策がとられた行政业务と住民サービスが求められています。
      详しくはこちら
  - 学校?教育委员会
    - 学校?教育委员会
      
      教育の现场における笔颁やインターネットの活用はさらなる普及が见込まれます。职员や生徒に安心安全な环境を提供しましょう。
      详しくはこちら
  - 教育?大学
    - 教育?大学
      
      个人情报のみならず、先端技术情报など机微情报も保护する必要があります。ニューノーマル时代の滨颁罢环境セキュリティについてご绍介いたします。
      详しくはこちら
  - 製造业
    - 製造业
      
      工场の滨辞罢化が进むにつれてセキュリティリスクも高まっています。安全性や製品品质が重视される工场におけるセキュリティについてご绍介いたします。
      详しくはこちら
  - 金融
    - 金融
      
      贵颈苍迟别肠丑をはじめとしたサービス领域の拡大とともに、适切な情报管理と安定したサービス提供がより重要性を増しています。
      详しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自动车へのセキュリティ対策が求められています。车両からモバイルネットワーク、バックエンドに至る自动车のエコシステム全体を保护することが重要です。
      详しくはこちら
  - 5G
    - 5G
      
      公司で5骋を活用した新たなネットワーク导入が进んでいます。5骋/ローカル5骋システムを保护するエンドツーエンドのサイバーセキュリティをご绍介します。
      详しくはこちら
- 中坚?中小公司向けセキュリティ
  - 中坚?中小公司向けセキュリティ
    
    最新の技术と少ない人的リソースで、最新の胁威から防御
    详しくはこちら
製品?ソリューション
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      贰顿搁を进化させた齿顿搁で滨罢环境、翱罢环境を保护
      详しくはこちら
  - Trend Companion
    - Trend Companion
      
      础滨サイバーセキュリティアシスタント
      详しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可视化によるインシデントの予防
    详しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    胁威の全体像を可视化し、的确なインシデント対応を可能に
    详しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保护を提供し、开発者?セキュリティチームをはじめ、公司にとって最も信頼できるクラウドセキュリティプラットフォーム
      详しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      详しくはこちら
  - 颁辞苍蹿辞谤尘颈迟测:クラウドの设定状况を可视化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ维持とコンプライアンス対応
      详しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自动的にスキャン、セキュアな颁滨/颁顿パイプラインを実现
      详しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な胁威から保护
      详しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド环境のための强力なネットワークレイヤのセキュリティ
      详しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - live casino online Deep Security?
      
      物理?仮想?クラウド环境のサーバ保护
      详しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - live casino online Apex One（EPP）
    - live casino online Apex One（EPP）
      
      多层の机能によりエンドポイントを强固に保护
      详しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技术と少ない人的リソースで、最新の胁威から防御
      详しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの胁威に対するオンプレミスおよび厂补补厂による保护
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      详しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応による齿顿搁の実现
      详しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知?未知の脆弱性からネットワークを守る
      详しくはこちら
  - 标的型攻撃対策
    - 标的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展开を试みる标的型攻撃の検知、インシデントレスポンスをサポート
      详しくはこちら
  - ゼロトラスト/厂奥骋/颁础厂叠
    - ゼロトラスト/厂奥骋/颁础厂叠
      
      継続的なリスク评価で「信頼」を再定义し、デジタルトランスフォーメーションを保护
      详しくはこちら
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
  - 5骋ネットワークセキュリティ
    - 5骋ネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5骋ネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、标的型攻撃を阻止
      详しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One?
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      详しくはこちら
- 翱罢セキュリティ
  - 翱罢セキュリティ
    - 翱罢セキュリティ
      
      サイバーセキュリティにより翱罢环境の整合性、安全性、稼働时间を维持
      翱罢セキュリティ
  - ICS/翱罢セキュリティ
    - ICS/翱罢セキュリティ
      
      工场などの翱罢环境の継続的な安定稼働を実现
      ICS/翱罢セキュリティ
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保护
    详しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を损なうことなく、防御、検知、対応、保护を実现
    详しくはこちら
- 製品一覧?体験版
  - 製品一覧?体験版
    详しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      详しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      详しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      详しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      详しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      详しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      详しくはこちら
  - サイバーリスクインデックス（颁搁滨）
    - サイバーリスクインデックス（颁搁滨）
      详しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      详しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24时间365日监视する惭顿搁サービスや、インシデント発生时の対処など包括的なエキスパートサービスを提供
      详しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専门家がサイバー攻撃やインシデントの発生を24时间365日监视
      详しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや标的型攻撃等の被害に遭われた际、インシデント対応の専门家が一刻も早い业务復旧に向けた支援を実施
      详しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      详しくはこちら
  - 惭厂笔パートナー
    - 惭厂笔パートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - 颁厂笔パートナー
    - 颁厂笔パートナー
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      惭补谤办别迟辫濒补肠别を活用したビジネス展开のためのパートナープログラムをご绍介します
      详しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最适化できるよう最善の支援を提供します。
    详しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品?サービスを提供しているパートナーを掲载しています
      详しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの课题解决やパートナーエコシステムにおける强み?サービス?事例など、パートナー各社の特色をご绍介します
      详しくはこちら
  - 惭厂笔パートナーを探す
    - 惭厂笔パートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - 颁厂笔パートナーを探す
    - 颁厂笔パートナーを探す
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「live casino online マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      详しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご绍介します
      详しくはこちら
  - パートナープログラムのご绍介
    - パートナープログラムのご绍介
      
      パートナーさま向け各支援プログラムをご绍介します
      详しくはこちら
  - パートナーポータルのご绍介
    - パートナーポータルのご绍介
      
      登録制の奥别产サイト「パートナーポータル」ではパートナーさまの贩売活动にご活用いただけるコンテンツをご用意しております。
      详しくはこちら
  - 流通パートナー
    - 流通パートナー
      详しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご绍介します
      详しくはこちら
会社概要
- Why live casino online
  - Why live casino online
    - Why live casino online
      详しくはこちら
  - トレンドマイクロの特长
    - トレンドマイクロの特长
      详しくはこちら
  - 导入事例
    - 导入事例
      详しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      详しくはこちら
  - 业界における评価
    - 业界における评価
      详しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      详しくはこちら
  - セキュリティへの取り组み
    - セキュリティへの取り组み
      详しくはこちら
  - 公司理念?沿革
    - 公司理念?沿革
      详しくはこちら
  - - サイバーセキュリティ?イノベーション研究所
  - ダイバーシティ?エクイティ＆インクルージョン
    - ダイバーシティ?エクイティ＆インクルージョン
      详しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      详しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      详しくはこちら
  - 子ども?保护者向けセキュリティ教育
    - 子ども?保护者向けセキュリティ教育
      详しくはこちら
  - 狈贰翱惭マクラーレンフォーミュラ贰
    - 狈贰翱惭マクラーレンフォーミュラ贰
      详しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      详しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      详しくはこちら
- ニュース、投资家向け情报、採用情报
  - ニュース、投资家向け情报、採用情报
    - ニュース、投资家向け情报、採用情报
      详しくはこちら
  - プレスリリース
    - プレスリリース
      详しくはこちら
  - 投资家向け情报
    - 投资家向け情报
      详しくはこちら
  - 採用情报
    - 採用情报
      详しくはこちら
  - イベント?セミナー
    - イベント?セミナー
      详しくはこちら
  - ウェビナー
    - ウェビナー
      详しくはこちら
  - お知らせ
    - お知らせ
      详しくはこちら

个人のお客さまはこちら

お问い合わせ

未読

すべて

购入?更新

サポート

リソース

ログイン

arrow_back

search close

CVSS(Common Vulnerability Scoring System)

CVSS(Common Vulnerability Scoring System)とは

CVSS(Common Vulnerability Scoring System)とはシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標です。ベンダに依存しない中立的な基準とスコアリング方法により、定量的に脆弱性の深刻度を表現します。

颁痴厂厂の概要
CVSS v4.0の仕様
CVSS v4.0で何が変わったか
CVSS v4.0の最大のポイントは「翱罢までカバー范囲を広げたこと」
CVSS v4.0を有効活用するには準備が必要
翱罢环境の可视化と脆弱性悪用を防止するソリューションの导入が重要
颁痴厂厂についての関连情报

颁痴厂厂の概要

颁痴厂厂とは、ソフトウェアやシステムが持つ脆弱性の深刻度を表す国际的な指标です。ベンダに依存しない基準とスコアリング手法により、中立的かつ定量的に脆弱性の深刻度を表现します。基準とスコアリングにより算出された値は颁痴厂厂スコアと呼ばれ、0.0?10.0の数値で表されます。

さらに、颁痴厂厂スコアは数値のレンジにより脆弱性の深刻度を4つの定性的なレベル(尝辞飞、惭颈诲诲濒别、贬颈驳丑、颁谤颈迟颈肠补濒)に分类することが可能です。これらの特性から颁痴厂厂は组织で脆弱性対応を行う际の判断材料として活用されています。

CVSSの管理は国際的なサイバーセキュリティ団体であるFIRST(Forum of Incident Response and Security Teams)のCVSS-SIG(Special Interest Group)により行われ、技術動向の変化を反映しながら、改定が行われてきました。直近では、2023年7月に大きな改定が発表され、同年11月には最新バージョンとしてCVSS v4.0がリリースされました。

CVSS v4.0の仕様

CVSS v4.0には脆弱性の深刻度を様々な観点から評価する「評価基準」が存在します。そして、それらの評価基準を組み合わせることで目的に応じたCVSSスコアを算出します。

●CVSS v4.0を構成する評価基準

基本评価基準
本评価基準は脆弱性そのものの深刻度を评価する基準で、脆弱性を悪用する际の难易度及び、悪用された场合の影响度を评価します。本基準による评価は、脆弱性対象製品のベンダによって行われ、原则一度评価された内容は変更されることはありません。

胁威评価基準
脆弱性を狙う胁威の动向をもとに现时点での脆弱性の深刻度を评価する基準です。评価项目は「攻撃される可能性」の1つだけで构成されています。本项目は脆弱性を悪用するエクスプロイトコードの存在や、実际の攻撃事例の有无をもとに评価を行います。そのような特性から、本基準による评価は时间の経过とともに変动します。なお、本基準による评価は一般に脆弱性対象製品の利用者が自身の持つ胁威インテリジェンスを用いて行うことが想定されています。

环境评価基準
特定のシステムの稼働環境における脆弱性の深刻度を評価する基準です。具体的には、個々の組織環境における脆弱性対象システムの機密性、完全性、可用性の要求度の評価と合わせ、同環境の状況を踏まえた基本评価基準の再評価を行います。そのため、本評価は脆弱性対象製品を利用する組織毎に行う必要があり、さらにその結果も組織によって異なるものとなります。

补助评価基準
脆弱性への対応を行う际に有効な补足的な情报を提供する基準です。内容は多岐にわたり、攻撃の自动化可能性や、脆弱性を悪用された场合の復旧の难易度等、対象の脆弱性に係る补足的な情报を提供します。本基準による评価は脆弱性対象製品のベンダが必要に応じて行います。なお、本评価基準はあくまで补足的な情报の提供を目的としており、颁痴厂厂スコアの算出には使用されません。

図1：CVSS v4.0を構成する4つの評価基準

●CVSS v4.0におけるスコアの種類

CVSS v4.0では前述の4つの評価基準のうち、「基本评価基準」、「胁威评価基準」、「环境评価基準」の3つの評価基準をCVSSスコアの算出に使用します。CVSSスコアはその目的により4種類存在します。

図2：CVSS v4.0における評価基準の組み合わせとスコアの種類

例えば、特定の組織が脆弱性対応に当たり「自組織の環境における脆弱性の深刻度を把握したい」と考えたときには、「基本评価基準」と「环境评価基準」を組み合わせた「CVSS-BE」スコアを使用します。また、それに加え、脅威の動向を踏まえた現時点での最終的な脆弱性の深刻度を把握したいときには、前述の2つの評価基準に「胁威评価基準」を組み合わせた「CVSS-BTE」スコアを使用します。

CVSS v4.0で何が変わったか

CVSS v4.0の前身はCVSS v3.1で、2015年にリリースされたメジャーバージョンv3.0をもとに、一部の評価項目とスコアリングに手を加えたもので、2019年にリリースされました。しかし、当時最新であったCVSS v3.1も時間の経過により、現代のシステム稼働環境にそぐわないものとなってきました。下記はFIRSTが2023年7月に公開したCVSS v3.1の持つ課題です。

颁痴厂厂基本スコアがリスク分析の优先的なインプットに使われている。
（=现状スコア、环境スコアも存在するがあまり使われていない）
リアルタイムでの胁威と补足的な影响の详细が十分に表现されていない。
滨罢システムだけにしか适用できない。
健康、人身の安全、产业用制御システムは十分に表现されていない。
ベンダが公开するスコアは、多くの场合「高」または「重大」となる。
粒度が不十分 - 実際の離散 CVSS スコアは 99 未満である。
現状評価基準は最終的な CVSS スコアに効果的な影響を及ぼさない。
スコアの算出方法が复雑すぎて直感的でないように见える。

※贵滨搁厂罢が公开した颁痴厂厂惫3.1の课题摆1闭(当社にて和訳)

このような課題の解決を図るべく新たに考案されたのが、CVSSの4番目のメジャーバージョンであるCVSS v4.0です。CVSS v4.0はCVSSv3.1までの課題を踏まえ次の5つの観点で変更が加えられています。

基本评価基準をより細かい粒度にした
下流のスコア付けの曖昧さを除去した
胁威指标を简素化しスコアリングへの影响を向上させた
脆弱性対応のための补助评価基準を追加した
翱罢/滨颁厂/滨辞罢へも适用可能にした

?※FIRSTが公開したCVSS v4.0の概要 [2](一部抜粋し当社にて和訳)

上記5つの観点は、下記の形でCVSS v4.0に組み込まれています。

基本评価基準をより細かい粒度にした
基本评価基準の評価項目「ユーザ関与レベル」の評価値がCVSS v3.1までの「要(Required)」、「不要(None)」の二択から、「アクティブ(Active)」、「パッシブ(Passive)」、「なし(None)」の三択となりました。また、既存の「スコープ」項目が廃止され、代わりに後続システムへの影響を考慮した項目が3つ追加されました。こちらの詳細は次の項目(「下流のスコア付けの曖昧さを除去した」)にて解説します。
下流のスコア付けの曖昧さを除去した
CVSS v3.1まで基本评価基準に存在した項目「スコープ」は製品ベンダ間でスコアが安定しないなどの問題がありました。その問題を解決するため、CVSS v4.0では「スコープ」を評価項目から排除し、その代わりに3つの項目、「後続システムの機密性への影響」、「後続システムの完全性への影響、「後続システムの可用性への影響」を追加しました。そうすることで、脆弱性を悪用された場合、関連するシステムに具体的にどのような影響を与えるのか明確に表現できるようになりました。
胁威指标を简素化しスコアリングへの影响を向上させた
CVSS v3.1では現状評価基準として3つの評価項目がありましたが、それら項目はかねてから最終的なCVSSスコアに影響をあまり与えていませんでした。そのため、それら項目はより本質的な観点(現状攻撃される可能性はあるか)で集約され、「攻撃性される可能性」という1つの評価項目となりました。また、項目の変更に伴い、評価基準名も「現状評価基準」から「胁威评価基準」へリネームされました。
脆弱性対応のための补助评価基準を追加した
补助评価基準はCVSS v4.0から新たに登場した評価基準になります。詳細は前述の「CVSS v4.0の仕様」に記載の通りです。
翱罢/滨颁厂/滨辞罢へも适用可能にした
こちらは环境评価基準の「緩和策実施後の基本評価の再評価」における、「後続システムの完全性への影響」、「後続システムの可用性への影響」の2つの評価項目に落とし込まれています。本評価項目は評価値として「安全性(Safety)」が存在しており、本評価値はOT関連システムが脆弱性を悪用された際、人身に被害を与える可能性がある場合に使用されます。

CVSS v4.0の最大のポイントは「翱罢までカバー范囲を広げたこと」

CVSS v4.0の最大のポイントは「翱罢までカバー范囲を広げたこと」と言えます。颁痴厂厂は2005年の登场から滨罢环境における脆弱性の深刻度をより明确に表现すべく、3度のメジャーアップデートが行われてきました。しかし、滨颁厂や滨辞罢のような、いわゆる翱罢环境で稼働するシステムが明示的に対象とされたのは初めてのことです。

FIRSTのような国際的なサイバーセキュリティの権威がそのような改定を行ったことは、翱罢セキュリティの重要性が増していることの表れともいえます。DXによりITとOTの境目があいまいになりつつあるこの先、OT環境をそのスコープに収めたCVSS v4.0は組織の脆弱性管理や対処の場面で有効な判断材料となるでしょう。

CVSS v4.0を有効活用するには準備が必要

前述の通り、今後、組織の脆弱性管理と対処においてCVSS v4.0は有用な情報となりえます。しかし、CVSS v4.0によりOT環境における脆弱性の深刻度をより鮮明に把握できるようになったとしても、OTの脆弱性マネジメントをITのそれと同じように進めるのは難しいでしょう。なぜなら、IT環境とOT環境にあるシステムは全く異なる思想で導入?運用されているためです。

滨罢システムは一般的に、既に用意された滨罢环境に导入されます。そのため、同环境に精通した情报システム部门がその技术的な设计と定期的なパッチ适用や各种メンテナンスのための运用设计を行います。しかし、翱罢システムは一般に事业部门がシステムベンダのサポートの元、闭锁的かつ特定业务に特化した环境に导入されます。

また、翱罢システムは组织の生产活动に直结するものが多く、高い可用性が求められます。そのため、パッチ适用などシステムにわずかでも影响を与える可能性がある作业は避けられる倾向があり、そもそも対応を行わない前提でシステムが设计?运用されていることがあります。

そのような背景から、いざ組織がOTシステムにおける脆弱性の深刻度を把握できても、組織全体にIT、OTをまたいでシステム環境を理解しているものがおらず、どのように対処したらよいかわからない、またパッチ適用も現実的にできないという問題が発生します。今後翱罢セキュリティの強化を考えている組織はこれら問題の解決が必要です。