4年ぶりの改訂となった「CVSS v4.0」‐脆弱性管理で抑えておくべきポイントは？

CVSSとは

CVSS(Common Vulnerability Scoring System)はシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標です。ベンダに依存しない中立的な基準とスコアリング方法により定量的に脆弱性の深刻度を算出し、その深刻度を0～10.0数値で表現します。

CVSSの管理は国際的なサイバーセキュリティ団体であるFIRST(Forum of Incident Response and Security Teams)のCVSS-SIG(Special Interest Group)により行われ、技術動向の変化を反映しながら幾度か改定が行われてきました。

なお、CVSSは前述の通り「システムやソフトウェアが持つ脆弱性の深刻度」を表すものであって、脆弱性によって特定組織が業務影響を受けるリスクを表すものではありません。しかし、長年CVSS以外の脆弱性情報を定量的に表す中立的な基準が存在しなかったことから、しばしば企業における脆弱性対応の順位付けに使われることもあります。

そんなCVSSについて、FIRSTから2023年11月よりその最新バージョン「CVSS v4.0」が提供されることとなりました。本稿ではCVSSv4.0の全貌、及びこれまでからの変化点を解説いたします

CVSS v4.0の前身「CVSS v3.1」の仕様を振り返る

CVSSの歴史は長く、2005年にCVSS v1の発表後、今回の改定を含め3回のメジャーアップデートが行われています。直近でのメジャーアップデートは2015年に行われ、当時おおきな成長を見せていた仮想化等の新技術を考慮したCVSS v3.0が発表されました。そして2019年にそのスコアリング基準や計算式を改善したものがCVSS v3.1になります。

CVSS v3.1ではそのスコアリングの要素として評価基準が存在し、それらを目的に応じて組み合わせることでCVSSスコアを算出します。なお3つの評価基準にはさらにその中に評価項目が存在します。下記はCVSS v3.1における3つの評価基準の概要です。評価基準の中の評価項目については多岐にわたるため、下記図では名称のみ紹介します^※。
※ CVSS 3.xの詳細は、IPAのWebページでも確認可能（https://www.ipa.go.jp/security/vuln/scap/cvssv3.html）

そして、これら3つの評価基準を用途に応じて組み合わせることで、3種類のCVSSスコアが算出されます。それらCVSSスコアは下記のようなものとなっています。

このようにCVSS v3.1では3つの評価基準を組み合わせることで、目的に応じたCVSSスコアを算出する仕様となっています。

実効性に難のあった CVSS v3.1とCVSS v4.0の誕生

しかし、そんなCVSS v3.1も公開後約4年が経過し、やはり現実のシステム環境に即した場合の実効性に疑問が多く挙がっていたようです。下記はFIRSTが2023年7月に公開したCVSS v3.1の持つ課題です。

● CVSS基本スコアがリスク分析の優先的なインプットに使われている。
（=現状スコア、環境スコアも存在するがあまり使われていない）
● リアルタイムでの脅威と補足的な影響の詳細が十分に表現されていない。
● ITシステムだけにしか適用できない。
● 健康、人身の安全、産業用制御システムは十分に表現されていない。
● ベンダが公開するスコアは、多くの場合「高」または「重大」となる。
● 粒度が不十分 - 実際の離散 CVSS スコアは99未満である。
● 現状評価基準は最終的な CVSS スコアに効果的な影響を及ぼさない。
● スコアの算出方法が複雑すぎて直感的でないように見える。

FIRSTが公開したCVSSv3.1の課題(当社にて和訳)^※
※ FIRST「Announcing CVSS v4.0（P8）」（https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf）

このように、CVSS v3.1は、現在の多様化、複雑化するシステム環境において脆弱性の深刻度を表現するには十分でなく、またスコアリングの過程にも疑問が上がっていた状況です。そのような状況を踏まえ、2023年6月にFIRSTから公式にCVSS v4.0のアナウンスがなされました^※。
※FIRSTの公式発表：https://www.first.org/cvss/v4-0/

CVSS v4.0では、現行のCVSS v3.1に比べ大きく5つの観点での変更が加えられました。
下記はFIRSTが2023年7月に公開したCVSS v4.0アナウンス時の資料を抜粋し和訳したものです。

● 基本評価基準をより細かい粒度にした
● 下流のスコア付けの曖昧さを除去した (「スコープ」項目の除去)
● 脅威指標を簡素化しスコアリングへの影響を向上させた
● 脆弱性対応のための補助評価基準を追加した
● OT/ICS/IoTへも適用可能にした

FIRSTが公開したCVSS v4.0の概要(一部抜粋し当社にて和訳)^※
※ FIRST「Announcing CVSS v4.0（P10）」（https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf）

CVSS v4.0の全貌

ここからは具体的にCVSS v4.0における変更点の全貌をご説明します。まずCVSS v4.0ではv3.1の課題であった点を踏まえ、その評価基準が下記のとおり変更となりました。

基本評価基準は評価項目が改廃されより精密に脆弱性の深刻度を表現することができるようになりました。具体的には攻撃の難易度を測る項目として、「攻撃の実行条件」、が追加、攻撃による影響を測る項目として、「スコープ」が廃止され、代わりに「後続システムの機密性への影響」、「後続システムの完全性への影響」、「後続システムの可用性への影響」の3項目が追加されました。また、既存の「ユーザ関与レベル」についても、その評価値が「要(Required)」、「不要(None)」の二択から、「アクティブ(Active)」、「パッシブ(Passive)」、「なし(None)」の三択となりました。

現状評価基準は、脅威評価基準とリネームされました。CVSS v3.1では現状評価基準を構成する項目として3つの評価項目がありましたが、それら項目はかねてから最終的なCVSSスコアに影響をあまり与えないものとなっていました。そのようなことから、それら項目はより本質的な観点(現状攻撃される可能性はあるか)で集約され、「攻撃性される可能性」という1つの評価項目となりました。

環境評価基準は「緩和策実施後の基本評価の再評価」で一部変更がありました。「緩和策実施後の基本評価の再評価」とは、ベンダがCVSS基本スコアを算出するにあたって使用した基本評価基準の内容を、特定組織の環境を踏まえ再評価をする内容となります。そのような役割から、環境評価基準における「緩和策実施後の基本評価の再評価」の項目は基本評価基準と同じ項目で構成されています。しかし、CVSS v4.0ではこれら構成は変わらないものの、「緩和策実施後の基本評価の再評価」の一部評価項目における評価値が、基本評価時から変更されました。具体的には「後続システムの完全性への影響」、「後続システムの可用性への影響」2つの評価項目について、追加の評価値が設定されました。基本評価基準ではそれら項目の評価値は「高(Hight)」、「低(Low)」、「なし(None)」の3つで構成されていましたが、「緩和策実施後の基本評価の再評価」においては、上記3つに加え、「安全性(Safety)」が追加されています。本値はOT関連システムが脆弱性を悪用された際、人身に被害を与える可能性がある場合に選択されます。

図4.「後続システムの完全性への影響」、「後続システムの可用性への影響」について
環境評価基準での再評価時のみ評価値として「安全性(Safety)」が追加されている

補助評価基準は本改定から新たに追加された基準となります。本評価基準はCVSSスコアの算出には使用されませんが、組織がシステムの脆弱性に対処するにあたって有効となる補足的な情報を提供します。

また併せて、CVSSスコアの命名規則も変更されました。CVSS v3.1まではそのスコアンリグ方法により「基本スコア」、「現状スコア」、「環境スコア」と3つの名称が用いられていましたが、CVSS v4.0ではそのスコアリングに使われた評価基準を明示的に示す名称となりました。そのことにより、そのスコアがどの評価基準を使用してスコアリングされたものか一目でわかる形となっています。

このように、CVSS v4.0ではCVSS v3.1で課題となっていた点を踏まえ多数の変更が加えられています。

本改定の大きなポイントは「OT環境へカバー範囲を広げたこと」

前述の通り、CVSS v4.0ではそのスコアリングの基準やプロセスにおいて多数の変更が加えられました。しかし、大きな目で見ると一番のポイントはCVSSが「OT環境へカバー範囲を広げたこと」といえます。CVSSはその策定時からIT環境を対象とし、同環境の情報資産に対する影響のみを考慮していました。しかし、今回の改定では初めてOT環境が正式に評価対象に加えられ、それら環境での脆弱性悪用による人身への影響を考慮することとなりました。このように、FIRSTという権威ある団体がOT環境へのカバーを広げたことは、OTセキュリティの重要性が増していることの現れともいえます。DXによりIT環境とOT環境の境界があいまいになることが予想されるこの先、どちらの環境の脆弱性も表現可能となった点で、大きな意義があるでしょう。
しかし、OT環境における脆弱性の深刻度が明確化されたとして、その情報をIT環境の脆弱性と同じようにとらえ、OT環境のでもその対処を行うことは容易ではありません。それはIT環境とOT環境が一般に全く異なる体制で導入・運用されているためです。IT環境であれば、基本的にその組織の情報システム部門が既存IT環境の調和を考慮しながらシステムの導入を行い、その運用と保守を行います。しかし、OT環境の場合、システム導入に際して情報システム部門は関わることなく、事業部門がベンダと要件をすり合わせ、組織独自の仕様でシステムを導入することが一般的です。そのため、組織がOTセキュリティの重要性を認識し、いざ脆弱性の把握と対処を行おうとしても、自組織のOT環境を把握しているものが誰もおらず、IT環境と同様に対応してよいものか判断がつかないという状況が発生します。

今回の改定により、今後CVSSは組織の脆弱性対応においてより有効なインプットとなるでしょう。しかし、その真の恩恵を受けるには「OT環境における脆弱性対応がいつでも行える体制」があることが前提になります。今後、OT環境の脆弱性管理にCVSS v4.0の活用を検討している組織においては、情報システム部門と事業部門が協働し、OT環境の資産の洗い出しと、脆弱性が発表された際の対処ルールの策定など、事前に「OT環境における脆弱性対応がいつでも行える体制」を作り出すことが重要です。

参考
FIRST “Common Vulnerability Scoring System version 4.0: Specification Document”
FIRST “Announcing CVSS v4.0”
FIRSR “Common Vulnerability Scoring System v3.0: User Guide”
独立行政法人情報処理推進機構 "共通脆弱性評価システムCVSS v3概説"

参考記事
トレンドマイクロ製品の安全性・透明性向上のための5つの取り組み　第4回～トレンドマイクロ製品の脆弱性に関する品質向上の取り組み～
OTセキュリティの動向調査2023年：第1回「約50％がSOCをOT領域に拡大、課題は可視性」
OTセキュリティの動向調査2023年：第2回「OTセキュリティの最大の課題は『検出』」
OTセキュリティの動向調査2023年：第3回「可視性と効率化を阻害するOT特有の事情」
「モノ」を製造していない企業も参考にすべきPSIRTの役割と脆弱性管理のポイント