- 攻撃ベクター (AV:N)
- インターネットや社内 WAN など、ルーティングされたネットワーク越しに遠隔から踏み台にしうる。
- 攻撃の複雑さ (AC:H)
- タイミング・負荷・周辺設定に左右され、安定して成功させにくい。
- 攻撃要件 (AT:N)
- 到達性以外に、追加のインフラ条件やデータ前提は要らない。
- 必要な権限 (PR:N)
- 昇格やログインなしで踏み台にしうる。
- ユーザーの関与 (UI:N)
- 被害者の操作なしでも攻撃が完結しうる。
- 脆弱システムの機密性への影響 (VC:L)
- 一部のデータや属性が漏えいしうるが、事業全体としては限定的。
- 脆弱システムの完全性への影響 (VI:L)
- レコードや設定の一部が歪められうるが、システム全体の信頼は保たれやすい。
- 脆弱システムの可用性への影響 (VA:L)
- 遅延や断続的障害、一部機能の停止など、運用で吸収しうる範囲。
- 後続システムの機密性への影響 (SC:L)
- 下流の一部資産について限定的な漏えいが起きうる。
- 後続システムの完全性への影響 (SI:L)
- 下流の一部コンポーネントで改ざんが起きうるが、全体信頼は保たれやすい。
- 後続システムの可用性への影響 (SA:L)
- 下流で遅延や部分停止が起きうるが、運用で緩和しやすい。
- 悪用の成熟度(Threat) (E:X)
- Threat 情報が未指定のとき、最悪側(実害報告あり)に寄せて採点する。
- 機密性に対するセキュリティ要件(環境) (CR:X)
- 未指定のときは情報不足とみなし、スコア上は高要求(保守的)として扱う。
- 完全性に対するセキュリティ要件(環境) (IR:X)
- 未指定のときは情報不足とみなし、スコア上は高要求(保守的)として扱う。
- 可用性に対するセキュリティ要件(環境) (AR:X)
- 未指定のときは情報不足とみなし、スコア上は高要求(保守的)として扱う。
- 変更後の攻撃ベクター (MAV:X)
- 環境側で上書きしない限り、ベースの AV を採用。
- 変更後の攻撃の複雑さ (MAC:X)
- 環境側で上書きしない限り、ベースの AC を採用。
- 変更後の攻撃要件 (MAT:X)
- 環境側で上書きしない限り、ベースの AT を採用。
- 変更後の必要な権限 (MPR:X)
- 環境側で上書きしない限り、ベースの PR を採用。
- 変更後のユーザーの関与 (MUI:X)
- 環境側で上書きしない限り、ベースの UI を採用。
- 変更後の脆弱システムの機密性への影響 (MVC:X)
- 環境側で上書きしない限り、ベースの VC を採用。
- 変更後の脆弱システムの完全性への影響 (MVI:X)
- 環境側で上書きしない限り、ベースの VI を採用。
- 変更後の脆弱システムの可用性への影響 (MVA:X)
- 環境側で上書きしない限り、ベースの VA を採用。
- 変更後の後続システムの機密性への影響 (MSC:X)
- 環境側で上書きしない限り、ベースの SC を採用。
- 変更後の後続システムの完全性への影響 (MSI:X)
- 環境側で上書きしない限り、ベースの SI を採用。
- 変更後の後続システムの可用性への影響 (MSA:X)
- 環境側で上書きしない限り、ベースの SA を採用。
- 安全性(補足、スコア非変更) (S:N)
- negligible 相当にとどまると判断できる。
- 自動化可否(補足、スコア非変更) (AU:Y)
- 偵察・武器化・配信・悪用の四段階を、人手を介さず連結しうる。
- 復旧(補足、スコア非変更) (R:A)
- 攻撃後も監視・再起動などで自律的に回復する。
- 価値密度(補足、スコア非変更) (V:D)
- 一クライアントや単一ワークロードなど、掌握範囲が相対的に小さい。
- 対応工数(補足、スコア非変更) (RE:L)
- ドキュメント追随や軽微な設定変更で済む。
- 提供元の緊急度(補足、スコア非変更) (U:CLEAR)
- Clear:情報提供レベル。