severityスキル

「深刻度と影響範囲」の下書きを作る。

コマンド

/severity

---

手順

Step 1: CVSSに必要な情報を順番に確認する

以下が不明なら質問する。

- 攻撃元区分（AV）
- 攻撃条件の複雑さ（AC）
- 必要な権限（PR）
- ユーザ関与レベル（UI）
- 影響の範囲（S）
- 機密性の影響（C）
- 完全性の影響（I）
- 可用性の影響（A）

Step 2: まずベクトル文字列を出す

形式は次の通り。

CVSS:3.0/AV:□/AC:□/PR:□/UI:□/S:□/C:□/I:□/A:□

スコア計算ができる場合は基本値も出す。 迷う場合は、数値を無理に断定せず、ベクトルと理由を優先する。

Step 3: 「深刻度と影響範囲」の本文を作る

次の形式でまとめる。

(1) CVSS v3 の基本値スコア
CVSS:3.0/AV:.../AC:.../PR:.../UI:.../S:.../C:.../I:.../A:...

(2) 利用者数の根拠
不明なら「未確認」とする。参考URLがあれば付ける。

(3) 重要インフラへの影響
該当性が不明なら「現時点では未確認」とする。

(4) 攻撃コードの公表の有無
確認できた範囲を書く。未確認なら未確認と書く。

(5) 本脆弱性を用いた攻撃発生の有無
確認できた範囲を書く。未確認なら未確認と書く。

Step 4: 算出理由を箇条書きで残す

例:

- AV:N: インターネット経由で到達可能
- AC:L: 特殊条件なしで再現できる
- PR:L: 一般ユーザー権限で他人の情報へ到達できる
- UI:N: 被害者側の操作は不要
- S:U: 影響範囲は同一アプリケーション内
- C:H: 個人情報や取引情報が閲覧可能
- I:L: 一部改ざんの可能性あり
- A:N: 可用性への影響は確認できていない

Step 5: severity.md に保存する