CVSS スコア
CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境
スコアは、これらの 1 つ以上のメトリックに使用可能な情報 (例えば、値など) に基づいて計算されます。各メトリックで使用可能な情報が多いほど、CVSS スコアはより明確なものになります。AppScan Enterprise では、各メトリックの値は、問題 (セキュリティーの脆弱性) の属性または問題が検出されたアプリケーションの属性にマップされます。これらの属性を AppScan Enterprise で削除したり変更したりすることはできませんが、属性の値は変更することができます。
| メトリック・グループ | メトリック名 | 問題属性またはアプリケーション属性 | CVSS スコアの計算に必要な定義 |
|---|---|---|---|
| 基本 | 攻撃ベクトル | 問題 | はい |
| 攻撃の複雑性 | 問題 | はい | |
| 特権が必要 | 問題 | はい | |
| ユーザーの対話 | 問題 | はい | |
| 有効範囲 | 問題 | はい | |
| 機密性への影響 | 問題 | はい | |
| 完全性への影響 | 問題 | はい | |
| 可用性への影響 | 問題 | はい | |
| 現状 | 悪用コードの完成度 | 問題 | いいえ* |
| 修復レベル | 問題 | いいえ* | |
| レポートの信頼性 | 問題 | いいえ* | |
| 環境 これらのメトリックは、アプリケーションの総合的な重大度評価の要因にもなります。 |
変更された基本メトリック | アプリケーション | いいえ* |
| 可用性要件 | アプリケーション | いいえ* | |
| 機密性要件 | アプリケーション | いいえ* | |
| 完全性要件 | アプリケーション | いいえ* |
注:
- * これらの属性の定義は必須要件ではありませんが、問題を記述するメトリックが多く定義されているほど、より明確な CVSS スコアが算出されます。
- 定義されていないオプションの属性は、CVSS スコアの計算に組み込まれません。
- 必須属性が定義されていないと、CVSS スコアを計算できません。この場合、問題の重大度はUndeterminedとして分類されます。
-
CVSS メトリックの詳細については、次のリンクを参照してください。