Hitach Incident Response Team

この記事は,日立製作所のHIRT(Hitachi Incident Response Team)のスタッフがCSIRTの担当者に向け,脆弱性対策情報から得られた知見,脆弱性対策に関するアドバイス,ツールなどを紹介するものです。

■CVSS V2.0(2007/06/20)

 前回のCSIRTメモで紹介したぜい弱性の深刻度の指標「CVSS」(Common Vulnerability Scoring System)のバージョン 2.0が登場しました。6月にスペインで開催されたFIRSTカンファレンスに合わせて公開されました。

 CVSSは,ぜい弱性そのものの特性を評価する基準(基本評価基準:Base Metrics),攻撃コードの出現有無や対策情報が利用可能であるかといったぜい弱性の現在の深刻度を評価する基準(現状評価基準:Temporal Metrics),攻撃を受けた場合の2次的な被害の大きさや,組織での対象製品の使用状況といった基準(環境評価基準:Environmental Metrics)を用いてぜい弱性の深刻度を包括的かつ汎用的に評価する手法です。FIRSTのCVSS-SIGが中心となって仕様検討と普及を推進しています。

 そこで今回は,CVSS V1.0とV2.0の違いを簡単に紹介します。

  • 深刻度算出式の変更
    CVSS V2.0では,実際の利用環境の状況をより反映していく仕様に変更されました。 具体的には,基本評価値を算出する際に,ぜい弱性そのものが与える影響度と,そのぜい弱性への攻撃容易性の二つの視点から評価値を算出すること,さらに,ぜい弱性そのものが与える影響度については,実際の利用環境を加味して再計算する仕様が取り入れられています。

  • 基本評価基準で使用するパラメータの細分化
    ぜい弱性のあるシステムをどこから攻撃可能であるかを評価する「攻撃元区分(Access Vector)」が,V1.0(ローカル,リモート)から V2.0(ローカル,隣接ネットワーク,ネットワーク)となり,三つの区分を持つようになりました。これにより,遠隔からの攻撃が,組織内のネットワークのようなクローズドな接続形態でしか起こらないのか,インターネットのようなオープンな接続形態でも起こるのかをパラメータから読み取ることができます。
    ぜい弱性を攻撃するために対象システムの認証が必要であるかどうかを評価する「攻撃前の認証要否(Authentication)」が,V1.0(必要,不要)から V2.0(複数認証,単一認証,不要)となりました。攻撃にあたり認証操作が1回で済むのか,複数必要なのかを考慮しようというものです。

  • 環境評価基準で使用する項目の追加
    ぜい弱性の評価対象となるシステムのセキュリティ要求度を,C(機密性),I(完全性),A(可用性)の三つの視点から指定することになりました。V1.0では機密性,完全性,可用性への影響をぜい弱性そのものの特性だけで評価していたのですが,評価対象となるシステムにおけるセキュリティ要求の度合いとすることで,実際の利用環境の状況をより反映していく仕様へと改訂しています。

 深刻度算出式の変更が評価値に与えた差異を,基本評価基準すべての組み合わせから算出される基本評価値(Basic Score)の頻度を用いて比較してみたいと思います。


図1 CVSS V1.0とV2.0の基本評価基準すべての組み合わせから算出される基本評価値の頻度比較
[画像のクリックで拡大表示]

 V2.0では,基本評価基準すべての組み合わせから算出される基本評価値のが高くなっており,また中央(6前後の値)に分布していることが分かります。ただし,この比較は,あくまでも深刻度算出式から導かれる基本評価値の頻度であって,実際の基本評価値が,6前後の値になることを意味しているわけではありません。

 では,実際の基本評価値の分布を,NIST のぜい弱性対策情報データベース NVD(National Vulnerability Databese)が提供している基本評価値で比較してみましょう。


図2 1999年から2006年までのぜい弱性 1万8609 件を対象としたCVSS V1.0とV2.0による基本評価値の頻度比較
[画像のクリックで拡大表示]

 V2.0では,V1.0に比べて全体的に基本評価値が高くなっていることが分かります。いずれにしても,基本評価値という数値にとらわれることなく,どのような視点で深刻度が評価されたのかを読み取り,対処していきたいものです。

 V2.0についてもっと詳しく知りたい方は,「(独)情報処理推進機構:共通ぜい弱性評価システムCVSS v2概説」「CVSS V2.0 計算機」を参考にしてください。

HIRT (Hitachi Incident Response Team) とは

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。