CVSSv4.0は現行のCVSSv3.1とどう違う？ PwC Japanが解説

PwC Japanは2023年10月に公開予定のCVSSv4.0について解説した。新しい評価基準や表記の導入が予定されているため押さえておきたい。

[後藤大地，有限会社オングス]

　PwC Japanグループ（PwC Japan）は2023年8月7日、共通脆弱（ぜいじゃく）性評価システム（CVSS）バージョン4.0（CVSSv4.0）について解説した。2023年10月にリリースされる予定のCVSSv4.0について現行のCVSSv3.1との主な変更点などをまとめている。

PwC JapanはCVSSv4.0について解説した（出典：PwC JapanのWebサイト）

CVSSv4.0の新しい評価基準と2023年10月の公開に向けての詳細

　CVSSはコンピュータシステムにおける脆弱性評価に利用される指標で、さまざまな評価基準に沿って0から10.0までのスコア値が算出される。このスコア値は脆弱性の深刻度を示す値として業界で広く活用されている。

　CVSSはこれまで何度かバージョンが更新され、評価基準が変更されている。CVSSv4.0は現行のCVSSv3.1と基本的な仕組みは大きく変わってはいないが、評価基準の名称変更や新しいメトリクスグループなどが追加された。

　CVSSv3.1は「基本評価基準」（Base Metrics）、「現状評価基準」（Temporal Metrics）、「環境評価基準」（Environmental Metrics）の3つのメトリクスグループで構成されている。CVSSv4.0ではこのうち「現状評価基準」の名称が「脅威評価基準」（Threat Metrics）という名称に変更された他、新しいメトリクスグループとして「補足評価基準」（Supplemental Metric Group）が追加された。各メトリクスの変更箇所については以下を確認してほしい。

CVSSv4.0のメトリクスにおける主要な変更箇所（出典：PwC JapanのWebサイト）

　CVSSv4.0からは算出に利用したメトリクスを明確化するために、以下のような命名方法が提案されたため、確認しておきたい。

• CVSS-B:スコア値：「基本評価基準」（Base Metrics）で算出
• CVSS-BE:スコア値：「基本評価基準」（Base Metrics）、「環境評価基準」（Environmental Metrics）で算出
• CVSS-BT:スコア値：「基本評価基準」（Base Metrics）、「脅威評価基準」（Threat Metrics）で算出
• CVSS-BTE:スコア値：「基本評価基準」（Base Metrics）、「脅威評価基準」（Threat Metrics）、「環境評価基準」（Environmental Metrics）で算出

　2023年10月以降は「CVSS-B:9.3」といった新しい表記が使われる可能性が高いため、把握しておきたい。PwC Japanは、CVSSv4.0リリース後にはセキュリティベンダーや政府機関などから利用がはじまり、現在使われているバージョンと並行しながら段階的な移行が進むことになるだろうと指摘している。