CVSS 設定
CVSS メトリックに基づいた特定の問題について、重大度の設定を手動で微調整することができます。これは、「問題情報」ツールバーから「重大度」>「CVSS 設定」をクリックして実行されます。
CVSS ウィンドウから、3 つのセクションのいずれかの名前をクリックすると、そのセクションが開き、構成が表示されます。
をクリックすることで、デフォルト設定を復元することができます。このアイコンは、変更が行われた場合にのみアクティブになります。
基本メトリック
時間およびユーザー環境が変わっても一定である脆弱性メトリックです。
メトリック |
説明 |
オプション |
|---|---|---|
アクセス・ベクトル |
脆弱性をローカルのみで悪用できるか、隣接ネットワークからも悪用できるか、あるいはすべてのネットワーク接続から悪用できるか (リモートから悪用可能)。 |
ローカル、隣接ネットワーク、ネットワーク |
アクセスの複雑性 |
この脆弱性の悪用に関する難易度。 |
高、中、低 |
認証 |
脆弱性を悪用するために攻撃者が認証する必要がある回数。 |
なし、1 回、複数回 |
機密性への影響 |
この脆弱性を悪用された場合の機密性への影響。 |
なし、部分一致、完全一致 |
完全性への影響 |
この脆弱性を悪用された場合、システム保全性 (アプリケーションによって提供される情報の正確さ) が損なわれる程度。 |
なし、部分一致、完全一致 |
可用性への影響 |
この脆弱性を悪用された場合の情報リソースの可用性への影響。 |
なし、部分一致、完全一致 |
一時的メトリック
時間の経過に伴って変化する脆弱性のメトリックがあります。
メトリック |
説明 |
オプション |
|---|---|---|
悪用の可能性 |
この脆弱性につけこむ悪用手法の現在の状態。 |
未検証、PoC (概念検証)、実用的、高、未定義 |
修復レベル |
脆弱性の保護に使用可能な修復レベル。 |
公式のフィックス、一時的なフィックス、回避策、利用不可、未定義 |
レポートの信頼性 |
脆弱性の存在および技術詳細についての信頼性の度合い。 |
未確認、裏づけなし、確認済み、未定義 |
環境メトリック
これらのメトリックはアプリケーション環境を反映し、「構成」ダイアログ・ボックス > 「環境メトリック」タブを使用してグローバルに設定する必要があります。これらをここで変更するのは、異なる特性を持つアプリケーション環境の一部に対してこの脆弱性が固有の場合に限られます。
メトリック |
説明 |
オプション |
|---|---|---|
二次的被害の可能性 |
アプリケーションが脆弱な場合の損害またはデータ漏えいの可能性。 |
なし、低、低から中、中、中から高、高、未定義 |
ターゲットの分布 |
ターゲットになる可能性がある環境内のシステムの比率。 |
なし、低、中、高、未定義 |
可用性要件 |
(情報の) 可用性の相対的な重要性 |
なし、低、中、高、未定義 |
機密性要件 |
(ユーザー情報の) 機密性の相対的な重要性。 |
なし、低、中、高、未定義 |
完全性要件 |
情報の保全性 (正確さ) の相対的な重要性。 |
なし、低、中、高、未定義 |