FIRST 共通脆弱性評価システム バージョン4.0 利用者向け実装ガイド (2026.01.06)

こんにちは、丸山満彦です。

FIRSTが共通脆弱性評価システム バージョン4.0 利用者向け実装ガイドを公表していますね...

これは、CVSS Baseスコアをどのように使って脆弱性管理をすれば実践的か？ということを示すガイドですね...

CVSS Baseスコアだけで脆弱性管理を行うべきではないという共通認識に基づき、脅威指標、組織ごとの環境指標を用いた管理ができるようにしようというもので、Baseのみから、脅威指標を取り込み、環境指標を追加していくという、段階的に強化していく道のり（成熟度）も示していますね...

 

● FIRST

・2026.01.06 Common Vulnerability Scoring System version 4.0 Consumer Implementation Guide

Common Vulnerability Scoring System version 4.0 Consumer Implementation Guide	共通脆弱性評価システム バージョン4.0 利用者向け実装ガイド
Introduction	序論
Executive Summary	エグゼクティブサマリー
The purpose of this guide is to help CVSS consumers use the Threat and Environmental metrics to better reflect the severity of vulnerabilities in their own environments. The CVSS SIG strongly recommends bringing Threat and Environmental metrics into the CVSS lifecycle to provide a consistent, transparent way to align prioritization with real-world risk.	本ガイドの目的は、CVSS利用者が脅威メトリクスと環境メトリクスを活用し、自環境における脆弱性の深刻度をより適切に反映できるように支援することである。CVSS特別作業部会（SIG）は、脅威メトリクスと環境メトリクスをCVSSライフサイクルに組み込み、現実世界のリスクと優先順位付けを一貫性・透明性を持って整合させることを強く推奨する。
We introduce a practical maturity model that progressively layers Threat and Environmental information onto Base scores (which describe system-agnostic, worst-case severity) to produce deployment-specific scores that account for:	本ガイドでは、ベーススコア（システム非依存の最悪ケースの深刻度を表す）に脅威情報と環境情報を段階的に重ね合わせる実用的な成熟度モデルを導入する。これにより、以下の要素を考慮した展開環境固有のスコアを生成する：
・The current threat landscape and observed exploit activity	・現在の脅威状況と観測された悪用活動
・More precise assumptions about local impact to IT assets	・IT資産へのローカル影響に関するより精密な仮定
・Existing mitigations that materially affect exploitability	・悪用可能性に実質的な影響を与える既存の緩和策
When applied through the Threat and Environmental metric groups, CVSS incorporates more information to calculate an enriched score. The result is a scoring approach that moves from generalized, worst-case assumptions toward decisions grounded in your environment. This improves accuracy and makes your choices about priority easier to explain and defend. This guide includes examples to illustrate how to apply these metrics. Note that while the examples in this guide use the latest version of CVSS, version v4.0, the concepts apply to CVSS v3.0 and v3.1 as well.	脅威メトリクス群と環境メトリクス群を通じて適用される場合、CVSSはより多くの情報を組み込み、強化されたスコアを算出する。その結果、一般的な最悪ケースの仮定から、自組織の環境に基づいた判断へと移行するスコアリング手法が実現する。これにより精度が向上し、優先順位に関する判断の根拠説明や正当化が容易になる。本ガイドではこれらの指標の適用例を示す。なお、例では最新版であるCVSS v4.0を使用しているが、概念はCVSS v3.0およびv3.1にも適用可能である。
Key Takeaway	重要なポイント
CVSS Base scores provide a common baseline, but used alone, they lack the deployment-specific context that many programs need. By layering in Threat and Environmental metrics, you can move from worst-case severity to a risk estimate that is aligned with how the vulnerability actually manifests in your environment — a much more customized approach. The incentive is improved prioritization and resource allocation.	CVSSベーススコアは共通の基準を提供するものの、単独では多くのプログラムが必要とする展開環境固有の文脈を欠いている。脅威メトリクスと環境メトリクスを重ねることで、最悪ケースの深刻度から、脆弱性が実際に環境でどのように現れるかに沿ったリスク推定へと移行できる。これははるかにカスタマイズされたアプローチだ。そのメリットは優先順位付けとリソース配分の改善である。
What is not in This Guide	本ガイドに含まれないもの
Prescriptive solutions	規範的な解決策
CVSS is a standard, but the ways in which it can be implemented and used by organizations is diverse and individual. This guide provides advice about implementing CVSS without prescribing exact usage.	CVSSは標準だが、組織による実装や使用方法は多様で個別だ。本ガイドはCVSS実装に関する助言を提供するものの、具体的な使用方法を規定するものではない。
Recommended processes or tooling	推奨プロセスやツール
Just as processes are unique to organizations, so are tooling solutions. We point out tools and automation where appropriate, but cannot describe an end-to-end vulnerability management program toolset.	プロセスが組織ごとに異なるのと同様に、ツールソリューションも異なる。適切な場面でツールや自動化を指摘するが、エンドツーエンドの脆弱性管理プログラムのツールセットを記述することはできない。
Definitions of terms	用語の定義
For explanation of terms within this document, see the CVSS User Guide Glossary of Terms.	本文書内の用語の説明については、CVSSユーザーガイド用語集を参照のこと。

 

・[PDF]