FIRSTがCVSS 4.0 新しい脆弱性評価基準リリース

概要

FIRST（Forum of Incident Response and Security Teams）は、前のメジャーバージョンであるCVSS v3.0のリリースから8年後にCVSS v4.0を正式にリリースしました。CVSSはソフトウェアのセキュリティ脆弱性の重大度を評価し、数値スコアや質的表現（低、中、高、重大）を割り当てる標準化されたフレームワークです​。

新しい特徴

• 粒度の細かい基本メトリクス
• ダウンストリームスコアリングの曖昧さの削除
• 脅威メトリクスの単純化
• 環境固有のセキュリティ要件および補償制御の評価の効果向上

これにより、異なるシステムとソフトウェア間でのリスクの比較と脆弱性の影響評価が一貫した方法で行えるようになります​。

追加のメトリクス

• 自動化可能（wormable）: Automatable
• 回復（レジリエンス）: Recovery
• 価値密度: Value Density
• 脆弱性対応努力: Vulnerability Response Effort
• プロバイダーの緊急度: Provider Urgency

また、この最新バージョンはOT/ICS/IoTにも適用可能で、安全性メトリクスと値が追加されています。

関連リンク:https://www.first.org/cvss/v4-0/