情報セキュリティマネジメント試験の公開問題を解こう！（令和7年度・科目A・B）（6）「CVSS v3」

情報セキュリティマネジメント試験の令和7年度の公開問題（科目 A・B）を解こう。

今回のテーマは、「CVSS v3」である。

令和７年度情報セキュリティマネジメント試験公開問題　科目 A・B　問6
CVSS v3とは

令和７年度情報セキュリティマネジメント試験公開問題　科目 A・B　問6

問６ CVSS v3 について、基本評価基準、現状評価基準、環境評価基準のうち、現状評価基準の特徴はどれか。
ア攻撃コードの出現の有無、利用可能な対策のレベルなどに応じ、評価結果は時間の経過で変化する。
イ脆ぜい弱性及び想定される脅威に応じ、製品利用者ごとに評価結果は異なる。
ウ製品利用者が脆弱性への対応を決めるための評価に用いる基準であり、評価結果
は時間の経過で変化しない。
エ評価結果は利用環境によらず同じで、かつ、時間の経過でも変化しない。

正解：ア

CVSS v3とは

CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

CVSSでは次の3つの基準で脆弱性を評価します。

(1)基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、『機密性(Confidentiality Impact)」、『完全性(Integrity Impact)」、『可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。

(2)現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出します。この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。

(3)環境評価基準(Environmental Metrics)
ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出します。この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザ毎に変化します。ユーザが脆弱性への対応を決めるために評価する基準です。

CVSS v3では、脆弱性の深刻度を評価するために、攻撃の難易度を評価する項目(攻撃元区分、攻撃条件の複雑さ、必要な特権レベル、ユーザ関与レベル)と、攻撃による影響を評価する項目(機密性への影響、完全性への影響、可用性への影響)を分けて評価する手法を採用しています。

攻撃の難易度を評価する項目については、攻撃者がソフトウェアの脆弱性を悪用して攻撃できる対象(以下、コンポーネント)を対象範囲としています(これを、脆弱想定範囲：Vulnerable Componentと呼びます)。
（IPAのWebサイト）

各肢を検討していこう。

ア　正解。

イ　誤り。

環境評価基準の特徴である。

ウ、エ　誤り。

基本評価基準の特徴である。