CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に：セキュリティニュースアラート

FIRSTは共通脆弱性評価システム（CVSS）の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。

[後藤大地，有限会社オングス]

　グローバルなセキュリティフォーラム「FIRST」（Forum of Incident Response and Security Teams）は2023年11月1日（現地時間）、共通脆弱（ぜいじゃく）性評価システム（CVSS）の最新バージョンであるv4.0を正式に発表した。メジャーアップデートはCVSS v3.0が公開された2015年以来8年ぶりとなる。

　CVSSは脆弱性の深刻度を評価するためのスコアリングフレームワークで、2005年に最初のバージョンであるCVSS v1が公開された。CVSSスコアは0.0から10.0の範囲で提供されており、スコア値が高いほど深刻度が緊急であることを意味している。

FIRSTはCVSS v4.0を発表した（出典：FIRST のWebサイト）

CVSS v4.0における主な変更点は？

　CVSS v4.0では、従来のバージョンよりも細かい基本メトリクスが提供されており、スコアリングの曖昧さの低減や脅威メトリクスの簡素化、環境固有のセキュリティ要件や補完的なセキュリティ要件の評価効果が向上している。

　脆弱性評価を補足するため「Automatable」（ワーム化可能）「Recovery」（回復力）「Value Density」（価値密度）「Vulnerability Response Effort」（脆弱性対応努力）「Provider Urgency」（提供者の緊急度）など幾つかのメトリクスが追加されている。

　また、CVSS v4.0における機能拡張の重要なポイントとしてOT／ICS、IoTへの適用性を高めたことなども注目される。昨今、OT／ICS、IoTはサイバー攻撃者にとって格好の標的となっており、その深刻度を適切に評価する指針が必要になっていた。

　その他、CVSSは単なるベーススコアではないという点を強調するために、v4.0では新しい命名法が採用されている。

• CVSS-B:スコア値：「基本評価基準」（Base Metrics）で算出
• CVSS-BT:スコア値：「基本評価基準」（Base Metrics）、「脅威評価基準」（Threat Metrics）で算出
• CVSS-BE:スコア値：「基本評価基準」（Base Metrics）、「環境評価基準」（Environmental Metrics）で算出
• CVSS-BTE:スコア値：「基本評価基準」（Base Metrics）、「脅威評価基準」（Threat Metrics）、「環境評価基準」（Environmental Metrics）で算出

　CVSS v4.0の登場によって従来のバージョンよりも適切に脆弱性の深刻度が表現できるようになるものとみられる。しばらくはCVSSの複数のバージョンが混在する状況が続くものと考えられるが、徐々にCVSS v4.0へと移行していくものとみられる。