CVSS スコア

CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境

スコアは、これらの 1 つ以上のメトリックに使用可能な情報 (例えば、値など) に基づいて計算されます。各メトリックで使用可能な情報が多いほど、CVSS スコアはより明確なものになります。AppScan Enterprise では、各メトリックの値は、問題 (セキュリティーの脆弱性) の属性または問題が検出されたアプリケーションの属性にマップされます。これらの属性を AppScan Enterprise で削除したり変更したりすることはできませんが、属性の値は変更することができます。

1. CVSS メトリック

メトリック・グループ メトリック名 問題属性またはアプリケーション属性 CVSS スコアの計算に必要な定義 メトリックの説明
基本 アクセス・ベクトル 問題 はい 脆弱性をローカルのみで悪用できるか、隣接ネットワークからも悪用できるか、あるいはすべてのネットワーク接続から悪用できるか (リモートから悪用可能)。
アクセスの複雑性 問題 はい この脆弱性を悪用する際の難易度。
認証 問題 はい 脆弱性を悪用するためにアタッカーがターゲットに対して認証を行う必要がある回数。
機密性への影響 問題 はい この脆弱性を悪用された場合の機密性への影響。
完全性への影響 問題 はい この脆弱性を悪用された場合、システム保全性 (アプリケーションによって提供される情報の正確さ) が損なわれる程度。
可用性への影響 問題 はい この脆弱性を悪用された場合の情報リソースの可用性への影響。
現状 悪用の可能性 問題 いいえ* 悪用の技法またはコードの脆弱性の現在の状態。
修復レベル 問題 いいえ* 脆弱性の保護に使用可能な修復レベル。
レポートの信頼性 問題 いいえ* 脆弱性の存在および技術詳細についての信頼性の度合い。
環境

これらのメトリックは、アプリケーションの総合的な重大度評価の要因にもなります。

二次的被害の可能性 アプリケーション いいえ* アプリケーションが脆弱な場合の損害またはデータ漏えいの可能性。
ターゲットの分布 アプリケーション いいえ* ターゲットになる可能性がある環境内のシステムの比率。
可用性要件 アプリケーション いいえ* 情報の可用性の相対的な重要性。
機密性要件 アプリケーション いいえ* ユーザー情報の機密性の相対的な重要性。
完全性要件 アプリケーション いいえ* 情報の完全性または正確性の相対的な重要性。
注:
  • * これらの属性の定義は必須要件ではありませんが、問題を記述するメトリックが多く定義されているほど、より明確な CVSS スコアが算出されます。
  • 定義されていないオプションの属性は、CVSS スコアの計算に組み込まれません。
  • 必須属性が定義されていないと、CVSS スコアを計算できません。この場合、問題の重大度は Undetermined として分類されます。