CVSS スコア
共通脆弱性評価システム (CVSS) スコアは、脆弱性の全体的なセキュリティへの影響を示します。AppScan Enterprise は、1 つ以上のメトリックの利用可能な情報に基づいてスコアを計算します。利用可能な情報が多いほど、スコアはより正確になります。
AppScan Enterprise は、CVSS 3.1 と CVSS 4.0 の両方のスコアを計算して表示します。
-
CVSS 3.1: 問題レベルの基本および評価基準 (Temporal) メトリックと、アプリケーションレベルの環境評価基準 (Environmental) メトリックを組み合わせたアプローチを使用します。
-
CVSS 4.0: 基本属性に基づいてスコアを計算しますが、環境評価基準メトリックは含まれません。アプリケーションの環境属性の変更は、CVSS 3.1 の計算にのみ影響します。
属性のマッピングと制約
AppScan Enterprise は、メトリック値を問題 (セキュリティ脆弱性) または問題が検出されたアプリケーションの属性にマッピングします。
注:
AppScan Enterprise でこれらの属性を削除または変更することはできませんが、その値は変更できます。
CVSS 4.0 の実装
AppScan Enterprise は、CVSS 3.1 と並行して CVSS 4.0 スコアを計算します。問題の CVSS 属性を変更すると、AppScan Enterprise は両方のバージョンを再計算します。CVSS 4.0 スコアと CVSS 4.0 ベクトル文字列を保存するための新しい属性が利用可能です。
| メトリックグループ | メトリック名 | 問題またはアプリケーション属性 | CVSS スコアを計算するために必要な定義 |
|---|---|---|---|
| 基本 (Base) | 攻撃元区分 (Attack Vector) | 問題 | はい |
| 攻撃条件の複雑さ (Attack Complexity) | 問題 | はい | |
| 必要な特権レベル (Privileges Required) | 問題 | はい | |
| ユーザー関与レベル (User Interaction) | 問題 | はい | |
| スコープ (Scope) | 問題 | はい | |
| 機密性への影響 (Confidentiality Impact) | 問題 | はい | |
| 完全性への影響 (Integrity Impact) | 問題 | はい | |
| 可用性への影響 (Availability Impact) | 問題 | はい | |
| 評価 (Temporal) | 攻撃コードの成熟度 (Exploit Code Maturity) | 問題 | いいえ* |
| 修復レベル (Remediation Level) | 問題 | いいえ* | |
| レポートの信頼性 (Report Confidence) | 問題 | いいえ* | |
| 環境 (Environmental) これらのメトリックは、アプリケーションの全体的な深刻度評価にも寄与します。 |
変更された基本メトリック (Modified Base Metrics) | アプリケーション | いいえ* |
| 可用性の要件 (Availability Requirement) | アプリケーション | いいえ* | |
| 機密性の要件 (Confidentiality Requirement) | アプリケーション | いいえ* | |
| 完全性の要件 (Integrity Requirement) | アプリケーション | いいえ* |
注:
- * これらの属性を定義することは必須ではありませんが、問題を説明するためにより多くのメトリックが定義されている場合、CVSS スコアはより焦点が絞られます。
- 定義されていないオプションの属性は、CVSS スコアの計算に含まれません。
- 必須属性が定義されていない場合、CVSS スコアは計算できません。この場合、問題の深刻度は 未決定 として分類されます。
-
CVSS メトリックの詳細については、次のリンクを参照してください。