CVSS

CVSS は Common Vulnerability Scoring System の略です。
脆弱性の深刻度を、共通の尺度で数値化して比較しやすくするために使われます。

NVD などで 9.8 や 7.5 のような点数を見ることがありますが、それが CVSS です。
ただし、その点数だけで対応優先度を決めるのは危険です。

まず押さえたいポイント

• 脆弱性の深刻度を数値で表す
• 比較しやすいが、それだけで結論は出ない
• CVE や NVD と一緒に見ることが多い

どんな場面で使うか

• パッチ優先順位の参考
• 脆弱性の初期評価
• 社内説明や一覧表の整理
• ベンダー情報の読み解き

どんなふうに理解するとよいか

CVSS は「危険度を見る一つの軸」と考えるとちょうどよいです。
高い点数ほど注意は必要ですが、自社への影響は公開範囲や利用状況で変わります。

押さえておきたい注意点

CVSS が高くても、外部から届かない環境なら優先度が下がることがあります。
逆に、点数がそこまで高くなくても、KEV Catalog に入っていたり外部公開されていたりすれば急ぐべきことがあります。

実務で見るポイント

• 点数だけで判断を終えない
• 公開範囲と利用状況を合わせて見る
• 悪用状況や KEV も確認する
• 社内説明では「なぜその優先度か」も残す