お知らせ

2-1-1セキュリティ診断について 審査変更点(CVSS v3)

2026年2月16日

安全・安心マーク取得会社の皆様へ

安全・安心マーク審査委員会

2-1-1 セキュリティ診断について 審査変更点(CVSS v3)

 2010年2月に審査項目2-1-1の「セキュリティ診断」については、評価基準の一定化を図るため客観的な統一基準として「共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)(IPAでも採用)」を適用し、スコアの統一が図られてきました。

 このたび、これまでの「CVSS v2」によるスコアの提示を見直し、「CVSS v3」によるスコアの提示を求めることに変更をさせていただきます。

 2026年4月以降の審査では、「CVSS v3基本評価基準(Basic Metric)」によるセキュリティ診断報告書の提示を求めさせて頂きますので、ご対応をお願いします。

申請書提出の注意点:

  1. 1)今後脆弱性診断は、CVSS v3 の基本評価基準(Basic Metric)に対応したソフトウェア、もしくはサービスを使用して脆弱性診断を行うこと、また、発見された脆弱性の深刻度の指標としてCVSS基本値(Base Score)がセキュリティ診断報告書に記載されることを条件とする。
  2. 2)CVSS基本値(Base Score)7.0以上の脆弱性については、これらが検出されないか、セキュリティ診断報告書提出時までに、これが回避されていなければならない。
  3. 3)CVSS基本値(Base Score) 4.0以上の脆弱性については、検出された全ての項目について、事業者がそれらの脆弱性を認識し、セキュリティ診断報告書提出時までに自社のネットワーク運用環境を鑑みて、十分な検討・配慮がなされたことを示す責任者の意見書の提出を必要とする。

申請書類の変更

申請書が新しくなっておりますので、Webよりダウンロードして申請をお願いいたします。

以上