技術記録帖

調べて、整えて、残す

実装と運用の記録

技術記録帖
技術記録帖 技術情報を、読み返しやすい形に整えて残す技術サイト
用語集 最終更新 2026.04.03

CVSS

CVSS は Common Vulnerability Scoring System の略です。
脆弱性の深刻度を、共通の尺度で数値化して比較しやすくするために使われます。

NVD などで 9.8 や 7.5 のような点数を見ることがありますが、それが CVSS です。
ただし、その点数だけで対応優先度を決めるのは危険です。

まず押さえたいポイント

  • 脆弱性の深刻度を数値で表す
  • 比較しやすいが、それだけで結論は出ない
  • CVENVD と一緒に見ることが多い

どんな場面で使うか

  • パッチ優先順位の参考
  • 脆弱性の初期評価
  • 社内説明や一覧表の整理
  • ベンダー情報の読み解き

どんなふうに理解するとよいか

CVSS は「危険度を見る一つの軸」と考えるとちょうどよいです。
高い点数ほど注意は必要ですが、自社への影響は公開範囲や利用状況で変わります。

押さえておきたい注意点

CVSS が高くても、外部から届かない環境なら優先度が下がることがあります。
逆に、点数がそこまで高くなくても、KEV Catalog に入っていたり外部公開されていたりすれば急ぐべきことがあります。

実務で見るポイント

  • 点数だけで判断を終えない
  • 公開範囲と利用状況を合わせて見る
  • 悪用状況や KEV も確認する
  • 社内説明では「なぜその優先度か」も残す

この用語を読むときのコツ

CVSS は単語だけ暗記するより、「どんな場面で出てくるか」「何と一緒に語られるか」をセットで押さえた方が理解しやすいです。記事や設定画面で見かけたら、何を決めるための用語なのかまで見ると意味がつながりやすくなります。

最初のうちは、このページだけで完結させようとしなくて大丈夫です。 下の関連用語や関連記事も一緒にたどると、CVSS がどの文脈で使われる言葉なのかがかなり見えやすくなります。

あわせて見たい用語

KEV Catalog

KEV Catalog は、実際に悪用が確認された脆弱性を CISA がまとめた一覧です。

 NVD

NVD は、脆弱性情報を調べるときによく使われるアメリカの公的データベースです。

 CVE

CVE は、脆弱性に付けられる共通の識別番号です。