NVIDIA は現在、CVSS v3.1 (Common Vulnerability Scoring System version 3.1/共通脆弱性評価システム バージョン 3.0) を利用し、特定された脆弱性の深刻度を評価しています。CVSS を利用することで、共通の評価方法と言語を用いて脆弱性の特徴と影響を伝えることができます。CVSS では、脆弱性が与える懸念を一定の尺度で示します。CVSS モデルでは、Base (基本) 計算、Temporal (現状) 計算、Environmental (環境) 計算という 3 つの異なる測定方法またはスコアが利用されます。いずれも一連のメトリックスで構成されています。FIRST (Forum of Incident Response and Security Teams) が保守管理している規格の完全版は https://www.first.org/cvss でご覧いただけます。
NVIDIA は CVSS v3.1 Specification Document (仕様文書) の Qualitative Severity Rating Scale (定性的セキュリティ評価尺度) (https://www.first.org/cvss/specification-document) を利用し、深刻度の評価を以下の表のように定義しています。
| セキュリティ上の影響度の評価 |
CVSS スコア |
| 危機的 |
9.0 – 10.0 |
| 高 |
7.0 – 8.9 |
| 中 |
4.0 – 6.9 |
| 低 |
0.1 – 3.9 |
| なし |
0.0 |
NVIDIA は、付加的な要因が CVSS スコアで正しくとらえられないような場合、このガイドラインから逸脱する権利を有します。
NVIDIA セキュリティ情報では、該当箇所で CVSS v3.0 Base スコアを適宜提供します。NVIDIA は、お客様に最大限の価値をもたらし、脆弱性の本質的な特性を表す Base 評価基準 グループのみに焦点を当てています。 NVIDIA のリスク評価は、導入されている各種システムから割り出した平均リスクに基づいており、実際のリスクとは異なる場合があります。
NVIDIA はセキュリティまたは IT の専門家に相談した上で構成のリスクを割り出すことを推奨しています。また、Environmental スコアはネットワーク パラメーターに基づいて計算することを奨励しています。NVIDIA は全体リスクの評価にあたり、すべてのお客様に対して、Base スコアを考慮した上で Temporal スコアか Environmental スコアがお使いの環境に当てはまる場合、それも考慮するようお勧めしています。この全体スコアはある時点を表すものであり、お使いの環境に合わせて算出されます。セキュリティまたは IT の専門家による評価とこの最終スコアを利用し、ご利用の環境における対応に優先順位を付けてください。