自組織の情報システムに対する脆弱性診断を実施し、結果として複数の脆弱性が発見された場合、それぞれの脆弱性への対応の優先度をどのように判断すれば良いのでしょう?
組織や情報システムなどの内部的要因や、サイバー攻撃のトレンドなどの外部的要因によって実際の対応優先度は異なってくる場合があります。そこで、基本的な方針として脆弱性評価手法の標準として広く認知されている情報を活用して、対応の優先度を判断する例をご紹介いたします。
脆弱性への対応優先度検討に有用な脆弱性評価の世界標準
脆弱性診断や外部・内部からの連絡により、自組織が管理している情報システムの脆弱性が発見されるケースがあります。リスク管理の観点からは、発見された脆弱性を識別したうえで、影響の大きさを評価し、評価結果に基づいた優先度で適切に対応することが望まれます。
外部の専門事業者に脆弱性診断を依頼した場合は、事業者によるリスク評価の結果が記載された報告書やレポートを受けとっているかと思います。一方、自組織で脆弱性診断を実施した場合、または外部・内部からの連絡により脆弱性が発見された場合は、脆弱性を自組織で評価する必要があります。その際に有効活用できる脆弱性評価が世界標準であるCVEとCVSSです。
具体的な情報収集の方法について、過去のブログ記事「脆弱性情報の収集方法をまとめて紹介 脆弱性情報データベースを活用しよう」でご紹介しておりますので、併せてご参照頂ければ幸いです。
では次に、 CVE について詳しくご紹介いたします。
共通脆弱性情報識別子CVEとは?
CVE(Common Vulnerabilities and Exposures)とは、脆弱性を一意に特定するための識別子を割り当てたリストです。
脆弱性を評価するためには、評価対象の脆弱性を一意に特定する必要があります。全世界の脆弱性に一意性を持たせるため、MITRE社という非営利団体によって管理されており、識別番号の構成は「CVE-西暦-連番(通し番号)」となっています。
脆弱性を評価するためには、評価対象の脆弱性を一意に特定する必要があります。全世界の脆弱性に一意性を持たせるため、MITRE社という非営利団体によって管理されており、識別番号の構成は「CVE-西暦-連番(通し番号)」となっています。
例として2024年5月に公表されたPHPの引数インジェクションの脆弱性には「CVE-2024-4577」という識別子が付与されています。(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4577)
具体的な情報収集の方法について、過去のブログ記事「脆弱性情報の収集方法をまとめて紹介 脆弱性情報データベースを活用しよう」でご紹介しておりますので、併せてご参照頂ければ幸いです。
では次に、 CVSSとスコアの関係性 について詳しくご紹介いたします。
共通脆弱性評価システムCVSSとスコアの関係性とは?
CVSS(Common Vulnerability Scoring System)とは、脆弱性を汎用的でオープンな指標で評価するための仕組みです。
脆弱性を、特定の評価者に依存しない同一の定量的な基準で評価するために、FIRST(Forum of Incident Response and Security Teams)という団体によって管理されている評価システムです。
様々な観点の評価基準とスコアを用いてリスクの大きさを評価し、リスクの大きさに応じて0.0~10.0のスコアを割り当てる仕組みとなっています。
なお、CVSSは複数のバージョンが発表されており、2024年6月時点の最新バージョンはCVSS v4.0ですが、発表されてから日が浅いこともあり、多くの情報システムベンダーおよびセキュリティベンダーがCVSS v.3.x を使用しています。
例として2024年5月に公表されたPHPの引数インジェクションの脆弱性(CVE-2024-4577)には、暫定的な評価として、9.8(Critical:CVSS v.3.1)というスコアが、開発元であるThe PHP Groupにより割り当てられています。(新しい脆弱性のため、執筆時点(2024年6月)では開発元による暫定的な評価となっています)
なお、CVSS v.3.1における評価とスコアの関係性は下表のとおりです。
| Rating(評価) | CVSS Score(スコア) |
|---|---|
| None(なし) | 0.0 |
| Low(注意) | 0.1 ~ 3.9 |
| Medium(警告) | 4.0 ~ 6.9 |
| High(重要) | 7.0 ~ 8.9 |
| Critical(緊急) | 9.0 ~ 10.0 |
CVSSのスコアは、脆弱性の評価に有用な様々な観点の評価基準から算出されます。脆弱性への攻撃の容易さ、攻撃が成功した場合の影響の大きさ、などの観点を評価するための細分化された評価指標でスコアを算出します。
評価指標の詳細な内容については、この記事内で記載することが難しいため、評価基準・指標の一覧と概要をご紹介するにとどめ、詳細については一次情報元や公的機関による日本語の情報をご参照頂ければ幸いです。
- CVSS v3.1 Specification Document
https://www.first.org/cvss/v3.1/specification-document
- 共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html
評価基準と評価指標の概要
Base Metrics(基本評価基準):攻撃の難易度と影響を基本評価として算出
| 評価指標 | 概要 |
|---|---|
| Attack Vector(攻撃元区分) | 攻撃が成功するための攻撃元の条件(ネットワーク経由、ローカル、物理的接触、など) |
| Attack Complexity(攻撃条件の複雑さ) | 攻撃者のコントロールのみで攻撃の成功を再現可能か |
| Privileges Required(攻撃に特権が必要か) | 攻撃を成功させるために特権が必要か |
| User Interaction(ユーザ関与レベル) | 攻撃の成功条件として、正規ユーザの何等かのアクションが必要か |
| Scope(スコープ) | 攻撃よって脆弱性を持つコンポーネント以外への影響があるか |
| Confidentiality(機密性) | 攻撃が成功した場合の機密性への影響 |
| Integrity(完全性) | 攻撃が成功した場合の完全性への影響 |
| Availability(可用性) | 攻撃が成功した場合の可用性への影響 |
Temporal Metrics(現状評価基準):脆弱性に係る情報などの現状を評価
| 評価指標 | 概要 |
|---|---|
| Exploit Code Maturity(攻撃の実現性) | 実際の攻撃コードの有無や攻撃コードの完成度・利用条件など |
| Remediation Level(利用可能な対策のレベル) | 開発元の公式な対策や、有しによる非公式な対策の有無など |
| Report Confidence(脆弱性情報の信頼性) | 開発元が脆弱性の正確な情報を把握し、再現方法・発生個所を識別しているか、など |
Environmental Metrics(環境評価基準):被害を受ける組織の状態を踏まえた評価
| 評価指標 | 概要 |
|---|---|
| Security Requirements (セキュリティ要件) | 被害を受ける組織の情報資産の重要性を考慮した機密性・完全性・可用性への影響 |
| Modified Base Metrics(基本評価基準の補正) | 外部要件・対象システムの特性(既存の対策)などを加味して基本評価基準を実情に沿って再評価する。 |
まとめ
「脆弱性対策の優先度 CVE・CVSSによる識別と評価」と題して、ご説明してまいりました。脆弱性対策の優先度を検討するにあたり、脆弱性評価手法の標準として広く認知されているCVE, CVSSをご紹介しました。
- CVE(Common Vulnerabilities and Exposures):共通脆弱性情報識別子
脆弱性を一意に特定するための識別子を割り当てたリスト。
- CVSS(Common Vulnerability Scoring System):共通脆弱性評価システム
脆弱性を汎用的でオープンな指標で評価するための仕組みです。
実際には、対応の重要度だけでなく、容易性なども考慮したうえで対応を進めることになるかと思います。基本方針として、世界共通の評価基準と認知されている手法を取り入れることで、関係者が共通の認識で対応を進められる効果が期待できます。
当サイトではWebサイト、モバイル、IoTへの脆弱性のリスクを考えている方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
