CVSS スコア
CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境
スコアは、これらの 1 つ以上のメトリックに使用可能な情報 (例えば、値など) に基づいて計算されます。各メトリックで使用可能な情報が多いほど、CVSS スコアはより明確なものになります。AppScan Enterprise では、各メトリックの値は、問題 (セキュリティーの脆弱性) の属性または問題が検出されたアプリケーションの属性にマップされます。これらの属性を AppScan Enterprise で削除したり変更したりすることはできませんが、属性の値は変更することができます。
| メトリック・グループ | メトリック名 | 問題属性またはアプリケーション属性 | CVSS スコアの計算に必要な定義 | メトリックの説明 |
|---|---|---|---|---|
| 基本 | アクセス・ベクトル | 問題 | はい | 脆弱性をローカルのみで悪用できるか、隣接ネットワークからも悪用できるか、あるいはすべてのネットワーク接続から悪用できるか (リモートから悪用可能)。 |
| アクセスの複雑性 | 問題 | はい | この脆弱性を悪用する際の難易度。 | |
| 認証 | 問題 | はい | 脆弱性を悪用するためにアタッカーがターゲットに対して認証を行う必要がある回数。 | |
| 機密性への影響 | 問題 | はい | この脆弱性を悪用された場合の機密性への影響。 | |
| 完全性への影響 | 問題 | はい | この脆弱性を悪用された場合、システム保全性 (アプリケーションによって提供される情報の正確さ) が損なわれる程度。 | |
| 可用性への影響 | 問題 | はい | この脆弱性を悪用された場合の情報リソースの可用性への影響。 | |
| 現状 | 悪用の可能性 | 問題 | いいえ* | 悪用の技法またはコードの脆弱性の現在の状態。 |
| 修復レベル | 問題 | いいえ* | 脆弱性の保護に使用可能な修復レベル。 | |
| レポートの信頼性 | 問題 | いいえ* | 脆弱性の存在および技術詳細についての信頼性の度合い。 | |
| 環境 これらのメトリックは、アプリケーションの総合的な重大度評価の要因にもなります。 |
二次的被害の可能性 | アプリケーション | いいえ* | アプリケーションが脆弱な場合の損害またはデータ漏えいの可能性。 |
| ターゲットの分布 | アプリケーション | いいえ* | ターゲットになる可能性がある環境内のシステムの比率。 | |
| 可用性要件 | アプリケーション | いいえ* | 情報の可用性の相対的な重要性。 | |
| 機密性要件 | アプリケーション | いいえ* | ユーザー情報の機密性の相対的な重要性。 | |
| 完全性要件 | アプリケーション | いいえ* | 情報の完全性または正確性の相対的な重要性。 |
注:
- * これらの属性の定義は必須要件ではありませんが、問題を記述するメトリックが多く定義されているほど、より明確な CVSS スコアが算出されます。
- 定義されていないオプションの属性は、CVSS スコアの計算に組み込まれません。
- 必須属性が定義されていないと、CVSS スコアを計算できません。この場合、問題の重大度は Undetermined として分類されます。