CVSS（Common Vulnerability Scoring System）の説明として適切なものはどれか。

📝 解説

CVSS（Common Vulnerability Scoring System）は「脆弱性の深刻度を0.0〜10.0の数値で客観的に評価する共通脆弱性評価システム」です。地震の震度スケールで例えると、「震度3」「震度6強」という共通の数値があることで、被害規模を世界中で同じ基準で比較できます。CVSSもCritical（9.0〜10.0）・High（7.0〜8.9）・Medium（4.0〜6.9）・Low（0.1〜3.9）と深刻度を数値化することで、「まずどの脆弱性のパッチを当てるか」という優先度判断を客観的に行えます。基本値（固有の深刻度）・現状値（現在の脅威状況）・環境値（自社環境での影響度）の3つのメトリクスで構成されます。CVEと混同しやすいですが「CVE＝脆弱性の識別番号」「CVSS＝脆弱性の深刻度スコア」と役割が異なります！