プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
シグネチャ開発チーム
ユービーセキュアが提供する脆弱性検査ツール「Vex」およびクラウド型脆弱性自動検査ツール「VexCloud」の検査パターン開発を担うチーム。Webアプリケーションの脆弱性に関する最新情報を集め、製品に取り込むかどうか、診断サービスで手順に落とし込むにはどうすればよいかなど、日夜探求中。
CVSSとは「脆弱性の深刻度評価指標」
シグネチャ開発チームのみなさんこんにちは!今日のテーマは「CVSS」だけど、なんのことかサッパリ……コンビニ?またはファイル形式のことミア?
シグネチャ
開発チームさん
コンビニは「CVS」、ファイル形式は「CSV」ですね(笑)。CVSS(Common Vulnerability Scoring System)は、サイバーセキュリティの世界で広く利用されている脆弱性の深刻度評価指標です。この指標に基づいて、脆弱性の影響範囲や悪用の難易度など、複数の要素を総合的に評価したCVSSスコアを算出します。CVSSスコアは、セキュリティ対策の優先順位を決定する際の重要な手がかりになるんですよ。
なんと!そんなに大事な指標なのに、今まで全然知らなかったミア!
シグネチャ
開発チームさん
大丈夫です。今日はCVSSの基本概念から始め、その評価基準、計算方法、そしてスコアの解釈に至るまで解説しますから、一気に詳しくなれますよ!
(CVSSは現在、3.0、3.1、4.0のバージョンがありますが、「Vex」は、CVSS v3.0を基準にシグネチャの危険度を設定しておりますのでCVSS v3.0を基準に執筆しております)
CVSSスコアとは?
CVSSスコアは脆弱性の深刻度を表すそうだけど、スコアは数値で示されるミア?
シグネチャ
開発チームさん
その通りです。0から10までのスケールで表され、数値が高いほど脆弱性の深刻度が大きいことを示します。このスコアは、脆弱性がシステムに与える潜在的な影響を定量的に評価するために開発されました。セキュリティ担当者がこのスコアで脆弱性の緊急性を判断し、対応の優先順位を決定するといったように、セキュリティ対策の優先順位付けやリスク管理の基準として広く利用されています。
0から10まで!でも、例えば「1」だとどれくらい深刻なのか、なんだかピンとこないミア。
シグネチャ
開発チームさん
そうですね。スコアと深刻さの度合いを表にしたものがありますから、見てみましょう。
| スコア | 深刻度 |
|---|---|
| 0 | なし |
| 0.1~3.9 | 注意 |
| 4.0~6.9 | 警告 |
| 7.0~8.9 | 重要 |
| 9.0~10.0 | 緊急 |
おお、災害の警戒レベルみたいでわかりやすい。こうした評価は、どういった観点で行われるミア?
シグネチャ
開発チームさん
CVSSは「情報セキュリティの3要素」として「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」を重視していて、脆弱性がこの3つの要素に与える影響を評価します。
- 機密性(Confidentiality)
機密性は情報が不正に公開されないことを保証します。この要素は、個人情報や企業秘密の保護に不可欠です。 - 完全性(Integrity)
完全性は情報が正確で完全であることを確保します。データの不正改ざんを防ぎ、信頼を維持するために重要です。 - 可用性(Availability)
可用性はシステムやサービスが必要なときに利用可能であることを指します。サービス中断を防ぎ、業務の連続性を保つために重要です。
たしかにどれも重要な要素ミア。「情報セキュリティが受ける影響の大きさ」で評価するというのは目から鱗ミア!
シグネチャ
開発チームさん
そうなんです。では次は、CVSSの具体的な評価基準について詳しく見ていきましょう。
CVSSスコアの評価基準とその構成要素
シグネチャ
開発チームさん
CVSSスコアは、脆弱性の深刻度を評価するために、いくつかの構成要素を組み合わせて算出されます。これらの要素は、基本評価基準、現状評価基準、および環境評価基準の3つのカテゴリに分けられます。
なるほど。3つのカテゴリは、それぞれどんな特徴があるミア?
シグネチャ
開発チームさん
ざっくり言うと、基本評価基準は脆弱性の固有の特性を評価し、現状評価基準は脆弱性の現在の状況を考慮に入れ、環境評価基準は特定の環境における脆弱性の影響を評価します。これらの評価基準を適切に組み合わせることで、脆弱性の深刻度をより正確に把握できるんですね。では、それぞれもう少し詳しく解説しましょう。
基本評価基準(Base Metrics)
基本評価基準は、脆弱性の特性とその影響を評価するための要素です。これには攻撃ベクトル、攻撃の複雑さ、攻撃に必要な権限レベル、ユーザー関与レベル、機密性、完全性、可用性への影響が含まれます。これらの要素は、脆弱性がシステムに与える潜在的な影響の大きさと、攻撃を成功させるために必要な条件を示します。
現状評価基準(Temporal Metrics)
現状評価基準は、脆弱性の現在の状態やその変化を評価するための要素です。これには攻撃手法や攻撃コードの有無、対策の可用性、脆弱性情報の信頼性が含まれます。これらの要素は、脆弱性のリスクが時間とともにどのように変化するかを示し、対応の緊急性を判断するのに役立ちます。
環境評価基準(Environmental Metrics)
環境評価基準は、特定の環境や組織における脆弱性の影響を評価するための要素です。これには脆弱性が影響を与えるシステムの重要性や、攻撃難易度や攻撃の影響を実情に合わせて再評価することが含まれます。これらの要素は、組織固有のリスクを考慮し、脆弱性の優先順位付けを行うために重要です。
これらの評価基準をもとに、どうスコアを計算するミア?
シグネチャ
開発チームさん
スコアの算出には公式の計算ツールがあって、脆弱性の特性を入力することで自動的に算出されるんです。
計算ツール: https://jvndb.jvn.jp/cvss/ja/v3.html
正確なスコアを得るためには、詳細かつ正確な情報が必要です。
「攻撃元区分」「攻撃条件の複雑さ」「利用可能な対策のレベル」……いろんな評価軸があるミア。
シグネチャ
開発チームさん
CVSSスコアの高低は、脆弱性の深刻度を理解するための重要な指標です。スコアが高いほど、脆弱性の潜在的な影響が大きいことを示し、迅速な対応が求められます。逆に、スコアが低い場合は、脆弱性の影響が限定的であることを示します。
CVSSスコアの評価結果を適切に理解し解釈することは、効果的なリスク管理に不可欠です。スコアの背景にある要因を考慮し、組織の環境やセキュリティポリシーに照らして解釈することが重要です。
うちのCVSSスコアはどれくらいなのか、計算してみます!今日はいろいろ教えてくれてありがとミア!
シグネチャ
開発チームさん
CVSSスコアを適切に理解し、解釈することは、セキュリティ対策の優先順位を決定する際に非常に重要な指標といえます。高いスコアの脆弱性は迅速な対応が必要であり、改修における優先度を上げるなど、リスク管理の計画において優先的に考慮されるべきです。CVSSスコアを活用し、セキュリティ対策を効果的に実施することは情報資産を守ることにつながりますから、ぜひ取り組んでみてください。
