共通脆弱性評価システム(CVSS)
共通脆弱性評価システム (CVSS) は、コンピュータ システムのセキュリティの重大度とリスクを評価するために使用されます。
JSA 7.5.0では、JSA脆弱性管理機能は、共通脆弱性評価システム(CVSS)2.0、3.0、3.1をサポートしています。スコアとメトリック値は、脆弱性データで使用可能な最も高いバージョンに対して返されます。
CVSS は、以下のメトリックグループで構成されるオープンフレームワークです。
ベース
時間
環境
ベース
基本スコアの深刻度の範囲は 0 から 10 で、脆弱性の固有の特性を表します。基本スコアは、最終的なCVSSスコアに最も大きな影響を及ぼし、さらに次のサブスコアに分割できます。
影響
影響サブスコアは、悪用に成功した脆弱性の機密性への影響、整合性への影響、および可用性への影響のメトリックを表します。
悪用可能性
CVSS v2 では、悪用可能性サブスコアは、アクセスベクトル、アクセスの複雑さ、および認証のメトリックを表します。サブスコアは、脆弱性へのアクセス方法、攻撃の複雑さ、および攻撃者が脆弱性を悪用するために認証する必要がある回数を測定します。
CVSS v3 では、悪用可能性サブスコアは、攻撃ベクトル、攻撃の複雑さ、必要な権限、ユーザーの操作、およびスコープのメトリックを表します。サブスコアは、脆弱性へのアクセス方法、攻撃の複雑さ、必要な権限、攻撃者と別のユーザーの間で必要な相互作用、および脆弱なコンポーネント以外のリソースへの影響を測定します。
時間
時間的スコアは、時間の経過と共に変化する脆弱性の脅威の特性を表し、次のメトリックで構成されます。
悪用可能性 (CVSS v2) または悪用コードの成熟度 (CVSS v3)
時間の経過とともに変化する脆弱性を悪用するために使用できる手法またはコードの利用可能性。
修復レベル
脆弱性に対して利用できる改善策のレベル。
信頼性を報告する
脆弱性の存在に対する信頼のレベルとその技術的な詳細の信頼性。
環境
環境スコアは、ユーザーの環境の影響を受ける脆弱性の特性を表します。より高い環境メトリックを適用して、重要または重要な資産の脆弱性を強調するには、次の環境メトリックを構成します。これらの資産に関連する損失は組織に大きな影響を与えるため、最も重要な資産に最高のスコアを適用します。
巻き添え被害の可能性(CDP)(CVSS v2のみ)
この資産の損傷または盗難、または生産性または収益の経済的損失による人命または物的資産の損失の可能性。
ターゲット分布 (TD) (CVSS v2 のみ)
ユーザーの環境内の脆弱なシステムの割合。
守秘義務(CR)
この資産の脆弱性が悪用された場合の機密性の喪失への影響のレベル。
完全性要件(IR)
このメトリックは、この資産で脆弱性が悪用された場合の整合性の喪失への影響のレベルを示します。
可用性要件(AR)
この資産で脆弱性が悪用された場合の、資産の可用性への影響のレベル。