CVSSとは、共通脆弱性評価システムと呼ばれ、情報システムの脆弱性に対するオープンで汎用的な評価手法、および指標を指します。CVSSの登場までは、脆弱性および緊急性の表現がベンダごとに異なっていましたが、標準化された指標が使われるようになりました。
CVSSは、0.0-10.0の数値指標で緊急度を判定します。7.0以上が危険とされ、当該脆弱性を突いた攻撃プログラム(いわゆるPoCやExploit)が世に出回っている状況、もしくはすでに他社において被害が発生しているような状況を意味し、被害を防ぐためには迅速な対応が必要になります。
図:CVSSによる脆弱性の緊急度判定ロジック例
