CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます) なお、本ブログでは、実際のセキュリティ運用におけるCVSSの有用性や他の情報(KEV、SSVC、EPSSなど)との組み合わせみたいな話には踏み込みません。あくまでCVSS v4.0の理解に集中します。 今回はFIRSTのspecification documentとFAQから学びます。 CVSSとは?(割愛) CVSSの構成 v3.1から何が変わったのか? 各メトリクスの定義 基本メトリックグループ(Base Metric Group) 悪用可能性メトリクス(Exploitability Metrics) 影響メトリクス(Impact Metrics) 脅威メトリックグループ(Threat
![【要点抽出】CVSS v4.0 - 2LoD.sec](https://cdn-ak-scissors.b.st-hatena.com/image/square/d3cabdc80cc8cb3ef28418a456b9a691be9b60c7/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fn%2Fnikinusu%2F20231105%2F20231105150018.png)