先日,顧客との雑談の中で「CVSSとは?」という質問を受けた。エックスフォースのセキュリティアラートを読んで目に付いたそうだ。CVSSは多くの組織で採用されているので,見聞きしたことがある読者もいることと思う。2007年6月にはCVSSの新バージョンが公表された。今回はCVSSによるぜい弱性評価について解説しよう。
CVSSとは
CVSSとはCommon Vulnerability Scoring Systemの略で,コンピュータ・セキュリティの非営利団体「FIRST」(Forum of Incident Response and Security Teams)が推進する,ぜい弱性評価システムである。日本語では共通ぜい弱性評価システムと訳され,IPA(情報処理推進機構)もぜい弱性情報の評価に利用している。「共通」は,ベンダーに依存しない共通のぜい弱性評価システムであることを意味している。ユーザーはぜい弱性ごとにパラメータを設定して値を求めることで,深刻度の判断材料を得ることができる。
CVSSには,ぜい弱性自体の特性を評価する「基本評価基準」(Base Metrics,CVSS基本値と呼ぶ)と,パッチ・プログラムの提供状況などを考慮に入れた「現状評価基準」(Temporal Metrics,CVSS現状値),ユーザーの環境での影響度を含めた「環境評価基準」(Environmental Metrics,CVSS環境値)の三つの指標があり,攻撃元の区分や攻撃条件の複雑さ,影響度などから0.0~10.0の値で表記する。詳しくは,「共通ぜい弱性評価システムCVSS v2概説」や「【CSIRTメモ】ぜい弱性の評価基準「CVSS」に新バージョン」 を参照していただければと思う。
実際にCVSSを利用してぜい弱性を評価すればすぐにイメージが湧くと思う。2007年7月11日に公開された「Cisco Call Manager RisDC.exe でのリモート コードの実行」を例に,IPAが公開しているツールCVSS V2.0 Calculator supported by IPAを使って実際に評価してみよう。
現在評価基準は時間とともに変わる
アドバイザリに記載されている値(表1)を参考にしながら,CVSS Calculator内の各評価項目についてプルダウン・メニューから該当するものを選択する。ただし環境評価基準はアドバイザリには値がない。というのも,環境評価基準は,製品利用者の利用環境を含めた最終的なぜい弱性の深刻度を評価する基準であり,製品利用者が自分の環境にあわせて値を指定するものだからだ。ここでは,環境評価項目については中規模,中程度を選択するが,読者の方々はそれぞれの環境にあわせた値を試して頂きたい。
| 項目 | 値 |
|---|---|
| アクセス | リモート |
| アクセスの複雑さ | 低 |
| 認証 | 不要 |
| 機密性への影響 | 全面的 |
| 完全性への影響 | 全面的 |
| 可用性への影響 | 全面的 |
| 影響の偏向 | 通常 |
| 悪用の可能性 | 未実証 |
| 修正のレベル | 公式 Fix |
| レポートの信頼性 | 確認済み |
すべての項目を選択後,右上の[計算ボタン]を押すと図1のように結果が表示される。各評価項目をみると,このぜい弱性は,「リモートから容易に認証なしで攻撃可能であり,影響は全面的である」ことを意味しているから,深刻度はかなり高いことは予想できる。
 図1 計算結果画面1 [画像のクリックで拡大表示] |
まず基本値を見てみると,結果は10.0である。基本値は6~8になるものが多く,10.0はかなり高い部類に入る。エックスフォースがアラートとして発信しているぜい弱性の基本値が概ね8~10であることからも,非常に深刻度が高いぜい弱性と考えてよいだろう。
ただ,このぜい弱性に関しては,製品開発元から正式なパッチがリリースされているため,現状値は7.4に落ち着いている。現状評価基準とはぜい弱性の現在の深刻度を評価する基準であり,評価結果は,ぜい弱性への対応状況に応じ,時間の経過とともに変化する。
ここで,現状値について理解を深めるためにぜい弱性情報リリース後ある程度の期間が経過してから正式対策がリリースされた場合を想定してみよう。製品開発元からの正式対策がまだ利用できない(修正パッチが未リリースの場合など)状況では,現状評価基準の[利用可能な対策レベル]=[解決策なし]となり,CVSS Calculatorで再計算すると図2のような結果となる。基本値は変わらず10.0だが,現状値が7.4から8.5へ増加していることがわかる。
 図2 計算結果画面2 [画像のクリックで拡大表示] |
次に,製品開発元からの正式対策はまだ利用できないが,サードパーティから非公式な対策(バーチャル・パッチ)がリリースされている場合。現状評価基準の[利用可能な対策レベル]=[非公式な解決法]となり,同様にCVSS Calculatorで再計算すると図3のようなになる。正式対策が利用できる場合の現状値7.4まで減少することはないが,8.5から8.1へ減少しているのがわかる。
 図3 計算結果画面3 [画像のクリックで拡大表示] |
結果を並べてみると,対策が進むにつれて現状値が減少していくのがわかる。基本値,現状値がともに高い値を示している場合は,ぜい弱性が深刻であり,対策が未リリースという場合が考えられるので,各評価項目を確認していくことをおすすめする。もちろん,該当製品を利用していない場合もあるので,環境評価基準も評価した上で対応を考える方がよりよいだろう。
CVSSはぜい弱性の深刻度を評価するためのものだが,実際に自力で計算してみることで,ぜい弱性評価に関連する要素を整理できるという副産物が得られる。この点もCVSSのメリットと言っていいだろう。
菊池 完人
インターネットセキュリティシステムズ
プロフェッショナルサービス本部コンサルティング部
第二コンサルティング課 セキュリティコンサルタント
| ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より) |
