共通脆弱性評価システム

攻撃元区分

攻撃元区分（Access Vector、AV）は、脆弱性がどのように悪用される可能性があるかを示す。

アクセス元の複雑さ

アクセス元の複雑さ（Access Complexity、AC）の評価基準は、発見された脆弱性を悪用することがどの程度容易または困難であるかを記述する。

攻撃前の認証要否

攻撃前の認証要否（Authentication、Au）の評価基準は、攻撃者が対象を悪用するために認証を行わなければならない回数を記述する。ネットワークにアクセスするための認証などは含まれない。ローカルで悪用可能な脆弱性の場合、この値は初期アクセス後にさらに認証が必要な場合にのみ「単一」または「複数」に設定される。

機密性への影響

機密性への影響（Confidentiality、C）の評価基準は、システムによって処理されるデータの機密性に対する影響を記述する。

完全性への影響

完全性への影響（Integrity、I）の評価基準は、悪用されたシステムの完全性に対する影響を記述する。

可用性への影響

可用性への影響（Availability、A）の評価基準は、標的システムの可用性に対する影響を記述する。ネットワーク帯域幅、プロセッササイクル、メモリ、またはその他のリソースを消費する攻撃は、システムの可用性に影響を与える。

計算方法

これら6つの評価基準は、脆弱性の悪用可能性サブスコアと影響サブスコアを計算するために使用される。これらのサブスコアは、全体的な基本スコアの計算に使用される。

${\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}}$

${\displaystyle {\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))}$

${\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}}$

${\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))}$

これらの評価基準を連結して、脆弱性のCVSSベクターを生成する。

攻撃される可能性

攻撃される可能性（Exploitability、E）の評価基準は、悪用技術または自動化された悪用コードの現在の状態を記述する。

利用可能な対策のレベル

利用可能な対策のレベル（Remediation Level、RL）は、緩和策や公式の修正プログラムが提供されるにつれて、脆弱性の現状スコアを低下させることを可能にする。

脆弱性情報の信頼性

脆弱性情報の信頼性（Report Confidence、RC）は、脆弱性の存在に対する信頼度、および脆弱性の技術的詳細の信頼性を測定する。

計算方法

これら3つの評価基準は、すでに計算された基本スコアと組み合わせて使用され、脆弱性の現状スコアとそれに関連するベクターを生成する。

現状スコアを計算するために使用される公式は次のとおりである。

${\displaystyle {\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})}$

二次的被害の可能性

二次的被害の可能性（Collateral Damage Potential、CDP）の評価基準は、脆弱性が悪用された場合の、機器（および人命）などの物理的資産に対する潜在的な損失や影響、または影響を受ける組織に対する財政的影響を測定する。

影響を受ける対象システムの範囲

影響を受ける対象システムの範囲（Target Distribution、TD）の評価基準は、環境内にある脆弱なシステムの割合を測定する。

対象システムのセキュリティ要求度

対象システムが要求されるセキュリティ特性に関して、機密性要件（CR）、完全性要件（IR）、可用性要件（AR）の3つの追加の評価基準は、ユーザーの環境に応じて環境スコアを微調整できるようにする。

計算方法

5つの環境評価基準は、以前に評価された基本および現状の評価基準と組み合わせて使用され、環境スコアを計算し、関連する環境ベクターを生成する。

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))}$

${\displaystyle {\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}}$

${\displaystyle {\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})}$

バージョン2からの変更点

バージョン3に対する批判

2015年9月のブログ記事で、CERT Coordination Centerは、モノのインターネット（IoT）などの新興技術システムにおける脆弱性のスコアリングに使用する場合のCVSSv2およびCVSSv3.0の限界について論じた^[17]。