脆弱性の深刻度を評価するためのオープンで包括的、汎用的な評価手法が2004年10月に米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトとして提案されました。この手法は情報システムの脆弱性に対して共通の評価方法を提供することを目指しています。

その後、フォーラム・オブ・インシデント・レスポンス・アンド・セキュリティ・チームズ (FIRST) がこの手法の管理団体として選ばれ、適用推進や仕様改善が行われ、2005年6月に最初のバージョンが公開されました。その後、2007年6月にはバージョン2が、さらに2015年6月にはバージョン3が、そして最近では2021年2月にバージョン3.1が公開されました。

評価基準の概要

この評価手法では、情報システムの脆弱性を次の3つの基準で評価します：

1. 基本評価基準 (Base Metrics)
2. 現状評価基準 (Temporal Metrics)
3. 環境評価基準 (Environmental Metrics)

1. 基本評価基準 (Base Metrics)

脆弱性そのものの特性を評価する基準です。評価項目には以下が含まれます：

• 機密性への影響 (Confidentiality Impact)
• 完全性への影響 (Integrity Impact)
• 可用性への影響 (Availability Impact)

2. 現状評価基準 (Temporal Metrics)

脆弱性の現在の深刻度を評価する基準です。評価項目には以下が含まれます：

• 攻撃の容易性 (Exploitability)
• 修正の容易性 (Remediation Level)
• 報告の信頼性 (Report Confidence)

3. 環境評価基準 (Environmental Metrics)

ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。評価項目には以下が含まれます：

• 機密性要求度 (Confidentiality Requirement)
• 完全性要求度 (Integrity Requirement)
• 可用性要求度 (Availability Requirement)

バージョン2、バージョン3、およびバージョン3.1の違い

バージョン2からバージョン3への変更点

2007年にリリースされたバージョン2は、主にホストやシステムの脆弱性による深刻度を評価していましたが、バージョン3では仮想化やサンドボックス化などの利用状況の変化を取り込み、コンポーネント単位での評価が行われるようになりました。

バージョン3の新しい評価項目

バージョン3では、脆弱性の評価項目として以下の新しい項目が追加されました：

• 攻撃の難易度 (Attack Complexity)
• 必要な特権レベル (Privileges Required)
• ユーザ関与レベル (User Interaction)
• スコープ (Scope)

バージョン3.1の追加および改善点

バージョン3.1では、バージョン3の評価基準をさらに改善し、以下の点が追加されました：

• より詳細な評価基準の明確化と標準化。
• 新しい脅威モデルや攻撃シナリオに対応するための評価項目の追加。
• 実装ガイドラインの改訂とベストプラクティスの導入。

まとめ

この評価手法を用いることで、脆弱性の深刻度を定量的に評価し、比較することが可能になります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等が脆弱性に関して共通の言葉で議論できるようになります。

詳細な評価方法や評価基準については、各バージョンの仕様書を参照してください。最新の評価手法を理解し、適用することで、情報システムのセキュリティを効果的に強化することができます。