FIRST 共通脆弱性評価システムバージョン4.0 利用者向け実装ガイド (2026.01.06)

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [FIRST 共通脆弱性評価システムバージョン4.0 利用者向け実装ガイド](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-9e7cd7.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月01日) --- > [!NOTE] この記事の要約（箇条書き） - FIRSTが共通脆弱性評価システム（CVSS）バージョン4.0の利用者向け実装ガイドを公開。 - ガイドは、CVSSベーススコアに脅威メトリクスと環境メトリクスを組み込み、脆弱性の深刻度をより正確に反映させることを目的とする。 - ベーススコアのみでは不十分であるという認識に基づき、現実世界のリスクに合わせた優先順位付けを推奨。 - 段階的な成熟度モデルを導入し、現在の脅威状況、悪用活動、IT資産へのローカル影響、既存の緩和策を考慮したスコア生成を可能にする。 - 優先順位付けとリソース配分の改善が主なメリット。 - 規範的な解決策、推奨プロセス、特定のツールは含まれていないが、概念はCVSS v3.0およびv3.1にも適用可能。 > [!NOTE] 要約おわり --- [« 中国 2025年1月1日以降訪中した国家元首、首相](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-0ac296.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) ## 2026.02.01 ### FIRST 共通脆弱性評価システムバージョン4.0 利用者向け実装ガイド (2026.01.06) こんにちは、丸山満彦です。 FIRSTが共通脆弱性評価システムバージョン4.0 利用者向け実装ガイドを公表していますね... これは、CVSS Baseスコアをどのように使って脆弱性管理をすれば実践的か？ということを示すガイドですね... **CVSS Baseスコアだけで脆弱性管理を行うべきではない** という共通認識に基づき、脅威指標、組織ごとの環境指標を用いた管理ができるようにしようというもので、Baseのみから、脅威指標を取り込み、環境指標を追加していくという、段階的に強化していく道のり（成熟度）も示していますね... ● **FIRST** ・2026.01.06 [**Common Vulnerability Scoring System version 4.0 Consumer Implementation Guide**](https://www.first.org/cvss/v4.0/implementation-guide) | **Common Vulnerability Scoring System version 4.0 Consumer Implementation Guide** | **共通脆弱性評価システムバージョン4.0 利用者向け実装ガイド** | | --- | --- | | **Introduction** | **序論** | | **Executive Summary** | **エグゼクティブサマリー** | | The purpose of this guide is to help CVSS consumers use the Threat and Environmental metrics to better reflect the severity of vulnerabilities in their own environments. The CVSS SIG strongly recommends bringing Threat and Environmental metrics into the CVSS lifecycle to provide a consistent, transparent way to align prioritization with real-world risk. | 本ガイドの目的は、CVSS利用者が脅威メトリクスと環境メトリクスを活用し、自環境における脆弱性の深刻度をより適切に反映できるように支援することである。CVSS特別作業部会（SIG）は、脅威メトリクスと環境メトリクスをCVSSライフサイクルに組み込み、現実世界のリスクと優先順位付けを一貫性・透明性を持って整合させることを強く推奨する。 | | We introduce a practical maturity model that progressively layers Threat and Environmental information onto Base scores (which describe system-agnostic, worst-case severity) to produce deployment-specific scores that account for: | 本ガイドでは、ベーススコア（システム非依存の最悪ケースの深刻度を表す）に脅威情報と環境情報を段階的に重ね合わせる実用的な成熟度モデルを導入する。これにより、以下の要素を考慮した展開環境固有のスコアを生成する： | | ・The current threat landscape and observed exploit activity | ・現在の脅威状況と観測された悪用活動 | | ・More precise assumptions about local impact to IT assets | ・IT資産へのローカル影響に関するより精密な仮定 | | ・Existing mitigations that materially affect exploitability | ・悪用可能性に実質的な影響を与える既存の緩和策 | | When applied through the Threat and Environmental metric groups, CVSS incorporates more information to calculate an enriched score. The result is a scoring approach that moves from generalized, worst-case assumptions toward decisions grounded in your environment. This improves accuracy and makes your choices about priority easier to explain and defend. This guide includes examples to illustrate how to apply these metrics. Note that while the examples in this guide use the latest version of CVSS, version v4.0, the concepts apply to CVSS v3.0 and v3.1 as well. | 脅威メトリクス群と環境メトリクス群を通じて適用される場合、CVSSはより多くの情報を組み込み、強化されたスコアを算出する。その結果、一般的な最悪ケースの仮定から、自組織の環境に基づいた判断へと移行するスコアリング手法が実現する。これにより精度が向上し、優先順位に関する判断の根拠説明や正当化が容易になる。本ガイドではこれらの指標の適用例を示す。なお、例では最新版であるCVSS v4.0を使用しているが、概念はCVSS v3.0およびv3.1にも適用可能である。 | | **Key Takeaway** | **重要なポイント** | | CVSS Base scores provide a common baseline, but used alone, they lack the deployment-specific context that many programs need. By layering in Threat and Environmental metrics, you can move from worst-case severity to a risk estimate that is aligned with how the vulnerability actually manifests in your environment — a much more customized approach. The incentive is improved prioritization and resource allocation. | CVSSベーススコアは共通の基準を提供するものの、単独では多くのプログラムが必要とする展開環境固有の文脈を欠いている。脅威メトリクスと環境メトリクスを重ねることで、最悪ケースの深刻度から、脆弱性が実際に環境でどのように現れるかに沿ったリスク推定へと移行できる。これははるかにカスタマイズされたアプローチだ。そのメリットは優先順位付けとリソース配分の改善である。 | | **What is not in This Guide** | **本ガイドに含まれないもの** | | **Prescriptive solutions** | **規範的な解決策** | | CVSS is a standard, but the ways in which it can be implemented and used by organizations is diverse and individual. This guide provides advice about implementing CVSS without prescribing exact usage. | CVSSは標準だが、組織による実装や使用方法は多様で個別だ。本ガイドはCVSS実装に関する助言を提供するものの、具体的な使用方法を規定するものではない。 | | **Recommended processes or tooling** | **推奨プロセスやツール** | | Just as processes are unique to organizations, so are tooling solutions. We point out tools and automation where appropriate, but cannot describe an end-to-end vulnerability management program toolset. | プロセスが組織ごとに異なるのと同様に、ツールソリューションも異なる。適切な場面でツールや自動化を指摘するが、エンドツーエンドの脆弱性管理プログラムのツールセットを記述することはできない。 | | **Definitions of terms** | **用語の定義** | | [For explanation of terms within this document, see the CVSS User Guide Glossary of Terms.](https://www.first.org/cvss/v4-0/user-guide#Glossary-of-Terms) | 本文書内の用語の説明については、CVSSユーザーガイド用語集を参照のこと。 | ・\[[PDF](https://www.first.org/cvss/v4-0/cvss-v40-implementation-guide.pdf)\] [![20260131-165025](https://maruyama-mitsuhiko.cocolog-nifty.com/security/images/20260131-165025.png "20260131-165025")](https://www.first.org/cvss/v4-0/cvss-v40-implementation-guide.pdf) | [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-9e7cd7.html) [« 中国 2025年1月1日以降訪中した国家元首、首相](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-0ac296.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) [« 中国 2025年1月1日以降訪中した国家元首、首相](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-0ac296.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/)