年末に脆弱性について大きなニュースがありましたね。
その際にCVSSが10.0というスコアだと言われてましたが、そもそもCVSSとか、10.0という点数は何なのか改めて調べてみました。
CVSSとは、共通脆弱性評価システムと呼ばれ、情報システムの脆弱性に対するオープンで汎用的な評価手法、および指標を指します。CVSSの登場までは、脆弱性および緊急性の表現がベンダごとに異なっていましたが、標準化された指標が使われるようになりました。
CVSSは、1.0-10.0の数値指標で緊急度を判定します。7.0以上が危険とされ、当該脆弱性を突いた攻撃プログラム(いわゆるPoCやExploit)が世に出回っている状況、もしくはすでに他社において被害が発生しているような状況を意味し、被害を防ぐためには迅速な対応が必要になります。