「このCVE、CVSSが9.8だからすぐ直せ」——脆弱性の注意喚起やスキャナの結果で、こうしたCVSSスコアを毎日目にする情シス担当者は多いはずです。では、その数字は誰が、どんな基準で付けているのでしょうか。そして「9.8だから最優先」は本当に正しいのでしょうか。本記事では、CVSSとは何か、その仕組みと、情シスが実務でどう向き合えばよいかを一次情報をもとに整理します。
この記事でわかること
- CVSS(共通脆弱性評価システム)の意味と、0.0〜10.0スコアの読み方
- 深刻度レーティング(Critical/High/Medium/Low)の区切り
- 基本・脅威・環境・補足という4つの評価基準グループの役割
- 最新のCVSS v4.0で何が変わったのか
- 情シスがCVSSスコアを鵜呑みにしないための実務の勘所
CVSSとは何か(1文の定義)
CVSS(Common Vulnerability Scoring System/共通脆弱性評価システム)とは、脆弱性の深刻度を0.0〜10.0の数値で表し、ベンダーや製品をまたいで同じ物差しで比較できるようにする、オープンで標準的な評価手法です。IPAは「情報システムの脆弱性に対するオープンで汎用的な評価手法」と説明しています。管理しているのは、世界のインシデント対応チームが集まる国際フォーラムFIRST(Forum of Incident Response and Security Teams)で、その配下の専門部会CVSS-SIGが仕様を策定しています。IPAもこのCVSS-SIGに参画しています。
ポイントは、CVSSは「脆弱性の深刻度を測る点数」であって、脆弱性そのものを識別する番号(それはCVEの役割)ではない、という点です。CVEが脆弱性の「背番号」なら、CVSSはその危険度を示す「点数」だと捉えると混同しません。
なぜCVSSが必要なのか
脆弱性は毎日大量に公表されます。すべてに同じ熱量で対応するのは、限られた人員では不可能です。そこで「どれから手を付けるか」の判断材料として、深刻度を共通の尺度で数値化する仕組みが求められました。
CVSSがあることで、「A社の脆弱性はCVSS 9.8、B社は5.3」と、異なるベンダー・異なる製品の脆弱性を同じ物差しで並べて優先度を議論できます。ベンダーの公表、NVD、JVN iPediaなど、脆弱性情報の供給源が共通のスコアを使うことで、脆弱性管理の土台となる「深刻度の共通言語」ができあがっています。
スコアと深刻度レーティングの対応
CVSSスコアは0.0〜10.0の数値ですが、実務では数値そのものより「Critical(緊急)なのか」といった段階(レーティング)で語られることが多いです。CVSS v3.x/v4.0では、深刻度は次のように区分されています。
| 深刻度(レーティング) | CVSSスコア |
|---|---|
| なし(None) | 0.0 |
| 低(Low) | 0.1 〜 3.9 |
| 中(Medium) | 4.0 〜 6.9 |
| 高(High) | 7.0 〜 8.9 |
| 緊急(Critical) | 9.0 〜 10.0 |
「CVSS 9.8」がCritical(緊急)に区分されるのはこのためです。なお、この5段階の区分はCVSS v3.0以降のもので、CVSS v2.0にはCriticalの区分がなく、Low/Medium/Highの3段階でした。古い資料と最新版で段階の呼び方が違う点は、実務で混乱しやすいので注意します。
CVSSを構成する4つの評価基準グループ
CVSSのスコアは、一つの単純な数字ではなく、いくつかの観点(評価基準グループ)を組み合わせて算出します。最新のv4.0では次の4グループで構成されます。
| 評価基準グループ | 評価するもの | 変化するか |
|---|---|---|
| 基本評価基準(Base) | 脆弱性そのものが持つ本質的な特性(攻撃のしやすさ、機密性・完全性・可用性への影響など) | 時間・環境で変わらない |
| 脅威評価基準(Threat) | 攻撃コード(Exploit)が出回っているかなど、脅威をめぐる状況 | 時間とともに変わる |
| 環境評価基準(Environmental) | 自組織の利用環境における重要度や緩和策を踏まえた再評価 | 組織ごとに変わる |
| 補足評価基準(Supplemental) | スコアには影響しない補足情報(自動化のしやすさ、復旧性など) | 参考情報 |
ここで実務上とても大切なのが、普段ニュースやスキャナで目にする「CVSS 9.8」は、たいてい基本評価基準(Base)だけのスコアだという点です。Baseスコアは「最悪のケース」を想定した、時間や環境を無視した固定値です。実際の自社リスクは、攻撃コードの流通状況(脅威評価)や、その資産が社内でどれだけ重要か・どこに置かれているか(環境評価)を加味して初めて見えてきます。CVSS v4.0は「CVSSは基本スコアだけではない」という考え方をあらためて強調し、Baseのみ(CVSS-B)、Base+脅威(CVSS-BT)、Base+環境(CVSS-BE)などの組み合わせを明示する呼び方を導入しました。
最新版 CVSS v4.0で何が変わったのか
CVSSは2023年11月1日に最新版のv4.0がリリースされました。2019年のv3.1から約4年ぶりの改訂です。情シスとして押さえておきたい主な変更点は次のとおりです。
- 「現状評価基準(Temporal)」が「脅威評価基準(Threat)」に名称変更:攻撃コードの成熟度など、脅威の実態にフォーカスする位置づけが明確になりました。
- 「補足評価基準(Supplemental)」を新設:スコアには反映しないが、対応判断の参考になる属性(自動化のしやすさ、復旧性など)を記述できるようになりました。
- 基本評価基準の見直し:v3で分かりにくかった「スコープ(Scope)」が廃止され、代わりに脆弱性の影響が及ぶ「後続システム(Subsequent System)」への機密性・完全性・可用性の影響を評価する項目が加わりました。また新たに「攻撃の前提条件(Attack Requirements)」が追加され、「利用者の関与(User Interaction)」の選択肢が2択から3択に細分化されるなど、より実態に即した評価ができるよう粒度が上がっています。
ただし、脆弱性データベース側のv4.0対応は段階的に進んでいる状況で、当面はv3.1のスコアとv4.0のスコアが併存する場面が続きます。自組織で参照する情報がどのバージョンのスコアなのかを意識しておくとよいでしょう。
CVSSのバージョンの歴史
CVSSは2005年の登場以来、脅威の変化に合わせて改訂されてきました。ざっくりした流れを押さえておくと、古い記事のスコアを読むときに役立ちます。
- CVSS v1:2005年6月に公開。
- CVSS v2:2007年6月に公開(IPAは2007年8月に対応)。
- CVSS v3.0/v3.1:2015年/2019年に公開。多くの脆弱性情報で長く使われてきた版。
- CVSS v4.0:2023年11月に公開の最新版。
情シスはCVSSをどう使うのか(現場の勘所)
CVSSは便利な指標ですが、使い方を誤ると「かえって回らない」原因にもなります。実務では次の点を意識します。
- Baseスコアだけで機械的にトリアージしない:CVSS 7.0以上(High/Critical)だけを拾っても、対象が膨大で人員が足りない、というのが多くの現場の実情です。Baseスコアは最悪ケース想定のため過大評価になりがちで、High/Criticalが大量に積み上がります。
- 「実際に悪用されているか」を重ねる:CVSSスコアが高くても実際には攻撃に使われていない脆弱性は多く、逆にスコアが中程度でも活発に悪用される脆弱性もあります。CISAが公開するKEV(Known Exploited Vulnerabilities:既知の悪用された脆弱性)カタログや、悪用可能性を予測するEPSSといった指標を併用すると、「本当に急ぐべきもの」を絞り込めます。
- 環境評価で自社の文脈を足す:同じCVSS 9.8でも、インターネットに公開されたサーバの脆弱性と、隔離された社内端末だけの脆弱性では、自社にとっての緊急度は変わります。CVSSの環境評価基準は、まさにこの「自社の重要度」を反映するための仕組みです。
- 経営層への説明の共通言語にする:「CVSS 9.8の緊急脆弱性に対応中」と言えば、技術に詳しくない相手にも深刻度が伝わります。一方で「スコアが高い=即座に自社が危険」ではないことも、あわせて丁寧に補足すると、過剰反応も過小評価も避けられます。
現場の実感として悩ましいのは、CVSSスコアが独り歩きしやすいことです。「9.8」という数字だけが上申資料や報道で強調され、「それは基本評価の最悪ケースであって、自社環境ではどうか」という肝心の議論が飛ばされがちです。スコアはあくまで優先順位付けの出発点であって、ゴールではありません。限られた人員だからこそ、数字を鵜呑みにせず「悪用状況」と「自社の露出度」を重ねて絞り込む——この一手間が、脆弱性対応を現実的に回すうえで効いてくると感じます。
正しい理解と運用の指針はどこを見ればよいか
CVSSの評価項目の意味や算出方法を正確に押さえたいときは、自前で要約を作るより一次情報にあたるのが確実です。まずはIPAの共通脆弱性評価システムCVSS概説で全体像を、より新しい版はIPAのCVSS v3概説や仕様策定元のFIRSTの資料で確認できます。CVSSを起点にした脆弱性管理を組織に根付かせる進め方は、中小企業の情報セキュリティ対策ガイドラインが資産把握やパッチ運用の全体像をつかむうえで参考になります。あわせて、関連する基礎用語は用語解説カテゴリでも取り上げています。
まとめ
- CVSS(共通脆弱性評価システム)とは、脆弱性の深刻度を0.0〜10.0で数値化し、製品やベンダーをまたいで比較できるようにする国際標準の評価手法。管理はFIRSTが行い、最新版はv4.0(2023年11月公開)。
- 普段目にする「CVSS 9.8」の多くは、最悪ケースを想定した基本評価(Base)のみのスコア。実際のリスクは脅威評価・環境評価を重ねて初めて見える。
- 情シスはBaseスコアだけで機械的にトリアージせず、KEV(悪用状況)やEPSS、自社の露出度を合わせて「本当に急ぐもの」を絞り込むのが現実的。

