outputCVSSとは？脆弱性スコアの読み方・優先度判断を現場目線で解説

「このCVSS 9.8って本当に危ないの？」「スコア7以上は全部すぐ対応しないとまずい？」——脆弱性情報に触れるたびにこんな疑問が浮かぶ方は多いはずです。
CVSSは「脆弱性の深刻さ」を数値化した世界共通の指標ですが、読み方を知らないと「高スコア＝即対応」という短絡的な判断に陥り、本来優先すべき脆弱性を見落としかねません。
この記事では、CVSSスコアの仕組みから現場での優先度判断まで、インフラエンジニアや情シス担当者が明日から使えるレベルで解説します。

CVSSとは？共通脆弱性評価システムの概要

CVSS（Common Vulnerability Scoring System、共通脆弱性評価システム）は、ソフトウェアの脆弱性がどの程度深刻かを0.0から10.0の数値で表す国際標準の評価システムです。

開発・維持しているのはFIRST（Forum of Incident Response and Security Teams）という非営利団体で、現在はバージョン3.1が主流です。2023年以降に発見された脆弱性ではバージョン4.0も使われ始めています。

なぜCVSSが重要かというと、毎年発見される脆弱性の件数が増え続けているからです。NVD（米国国家脆弱性データベース）には毎年2万件以上の脆弱性が登録されており、すべてに同じリソースをかけて対応するのは現実的に不可能です。CVSSはその「トリアージ（優先順位付け）」のための共通言語として機能しています。

CVSSスコアの仕組みと3種類のスコア

CVSSスコアは3種類のスコアから成り立っています。

セキュリティニュースやNVDで目にするのは、ほとんどの場合「基本スコア」です。

基本スコアは以下の6指標から計算されます。

・攻撃元区分（AV）: ネットワーク越しに攻撃できるか、物理的に近づく必要があるか
・攻撃の複雑さ（AC）: 攻撃成立に特殊な条件が必要か
・必要な特権（PR）: 攻撃者に事前の権限が必要か
・ユーザー関与（UI）: 被害者がリンクをクリックするなど操作が必要か
・スコープ（S）: 影響が攻撃対象コンポーネントの外に及ぶか
・機密性・完全性・可用性への影響（C/I/A）: データ漏洩・改ざん・停止の深刻度

たとえばCVSS 9.8のような高スコアは、「ネットワーク越しに攻撃可能・特権不要・ユーザー操作不要・他システムにも影響・機密性/完全性/可用性すべてに重大な影響」という組み合わせで生まれます。

CVSSスコアの重大度ランク

CVSSの数値は5段階の重大度ランクに区分されています。

「Critical（緊急）が出たら即対応」というシンプルな運用に見えますが、実際はそう単純ではありません。次のセクションで現場での判断方法を解説します。

現場での優先度判断の手順

1. 自社の環境に該当するか確認する

まず確認すべきは「その脆弱性が自社の環境に存在するか」です。CVSS 10.0の脆弱性でも、該当ソフトウェアをそもそも使っていなければ対応不要です。

確認の手順はシンプルです。

・CVEの詳細ページ（NVD: nvd.nist.gov）で「Affected Products」を確認する
・社内のソフトウェアインベントリと突合する
・該当バージョンが稼働していれば優先度キューに入れる

ソフトウェアインベントリがまだ整備されていない場合、脆弱性スキャンツール（OpenVASやNessus Essentialsなどの無料枠）で棚卸しから始めるのが現実的です。

2. 攻撃元区分（AV）を重視する

攻撃元区分は優先度判断において特に重要な指標です。

・AV:N（Network）: インターネット越しに攻撃可能。最も危険な区分
・AV:A（Adjacent）: 同一ネットワークセグメント内に限定。LAN内に攻撃者が入っていれば危険
・AV:L（Local）: ローカルアクセスが必要。外部からの直接攻撃は困難
・AV:P（Physical）: 物理的アクセスが必要。リモート攻撃は不可能

スコア8.0でもAV:Lなら、インターネット公開サーバーよりも内部の開発機の対応を後回しにするという判断も合理的です。スコアの数値だけでなくAVの区分を必ず確認しましょう。

3. EPSSと組み合わせて「実際に悪用される確率」を見る

CVSSスコアが高くても、実際に攻撃コードが流通しているかどうかは別問題です。FIRST.orgが提供するEPSS（Exploit Prediction Scoring System）は、「30日以内にその脆弱性が実際に悪用される確率」を0.0～1.0で示す指標です。

現場での使い方の目安です。

・CVSSが高くEPSSも高い（例: CVSS 9.0以上、EPSS 0.5以上）→ 緊急対応
・CVSSは高いがEPSSが低い（EPSS 0.01未満）→ 計画的対応でOK
・CVSSは中程度だがEPSSが高い → 見落とし注意。優先度を上げる

EPSSはfirst.org/epssで無料で参照できます。月次パッチサイクルで運用している組織でも、EPSSを組み合わせることで「緊急割り込み」の判断精度を高められます。

4. インターネット公開資産かどうかを確認する

社外から直接アクセスできるサーバーやポートに存在する脆弱性は、内部システムと比べて対応の緊急度が跳ね上がります。

公開資産の確認例です。

# 自社ドメインのDNSで公開IPを確認する
dig example.com +short

# 自社IPのポート公開状況をNmapで確認する
# ※自社所有のIPに対してのみ実施。無許可のサーバーへの実行は不正アクセス禁止法の対象
nmap -p 22,80,443 [自社IPアドレス]

公開資産の一覧がない場合は、Shodanの無料検索でドメインやIPを検索してみると、外部から見えているポートやサービスが一覧で確認できます。

中小企業でも今日からできること

専任のセキュリティチームがいない環境でも、以下の運用フローで脆弱性対応の精度は大きく上がります。

・NVDのRSSフィードを購読する: nvd.nist.govから使用ソフトウェアのCVEアラートをRSS登録する。新着通知が自動で届くため見落としを防げる
・JVN（Japan Vulnerability Notes）を定期確認する: 日本のソフトウェアや機器の脆弱性情報が日本語で確認できる。jvn.jpを週1回チェックするだけでも効果がある
・対応レベルを3段階で文書化する: 「CVSS 9.0以上は48時間以内」「CVSS 7.0以上は月次パッチサイクルで対応」「6.9以下は四半期見直し」など自社基準をルール化する
・パッチ適用前に検証機でテストする: 検証を省略すると、パッチ適用によるサービス停止という二次被害が生じることがある

情シスが1人という環境では、「全部完璧に対応する」よりも「重大なものを絶対に見落とさない仕組みを作る」ことのほうがはるかに重要です。

Linuxサーバーの自動アップデート設定については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。パッチ適用の自動化と手動確認の使い分けも参考にしてください。

よくある誤解と注意点

【誤解1】「CVSSスコアが高い＝今すぐ攻撃される」ではない

CVSSは脆弱性の「特性」を評価するものであり、「攻撃の現実的な発生確率」を直接示すものではありません。CVSS 9.5でも攻撃ツールが存在しない、あるいは攻撃者にとって対象が少なすぎるケースでは、実害が出ないまま収束することもあります。スコアと実際のリスクは別物です。

【誤解2】「低スコアは放置してよい」ではない

スコア4.0台の脆弱性でも、攻撃者がすでに悪用ツールを公開している場合は実害のリスクが高まります。前述のEPSSを必ず参照してください。

また、複数の低スコア脆弱性を組み合わせた連鎖攻撃（脆弱性チェーン）により、個々のスコアからは想定できない深刻な被害が出ることもあります。「低スコアは後回し」という固定ルールは危険です。

【誤解3】「パッチを当てるとCVSSスコアが下がる」ではない

CVSSの基本スコアは脆弱性そのものの評価であり、パッチ適用後も数値は変わりません。パッチを当てた時点で「その脆弱性は自社システムに存在しなくなった」ため、以降はトラッキング対象から外すという意味です。スコアが変わらないことに混乱しないようにしましょう。

本記事のまとめ

CVSSは脆弱性管理の出発点として非常に有効なツールですが、スコアの数値だけで優先度を決めるのは危険です。

・自社環境への該当確認: 影響を受けるバージョンが実際に稼働しているか
・AV（攻撃元区分）の確認: ネットワーク越しに攻撃可能かどうか
・EPSSの参照: 実際に悪用される確率を加味する
・インターネット公開資産かどうか: 外部からアクセス可能なサーバーは優先度を上げる

この4点を組み合わせることで、スコアだけに振り回されない実践的な脆弱性対応が実現します。