CVSS(Common Vulnerability Scoring System)は、脆弱性そのものの特性を評価する基本評価基準、脆弱性の現在の深刻度を評価する現状評価基準、ユーザーの利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準から脆弱性を評価する手法です。今回は、環境評価基準におけるCVSS v2とv3の違いを紹介します。
CVSS v2では、攻撃対象となるホストやシステムにおいての『脆弱性による深刻度』を評価していました。CVSS v3では、仮想化やサンドボックス化などが進んできた状況に合わせて、コンポーネント単位で評価する仕様となっています。この仕様変更は、環境評価基準に2つの違いとなって現れてきています。
システムへの影響を評価する項目の削除
CVSS v2の環境評価基準で「システムへの影響」を評価する項目であった二次的被害の可能性(CD: Collateral Damage Potential)、影響を受ける対象システムの範囲(TD: Target Distribution)が削除されました(図1の緑色のボックス)。
基本評価基準の再評価
CVSS v3の環境評価基準では、緩和策や対策後の利用環境の実状に合わせて、基本評価基準である「攻撃の難易度」、「攻撃による影響」、「影響の広がり」を再評価することになりました(図1の青色のボックス)。
また、環境評価基準の改訂によって、脆弱性のあるコンポーネントの対策前後の深刻度を数値化できるようになりました。例えば、対策前に「攻撃元区分=ネットワーク」と評価された脆弱性のあるアプリケーションを想定します。ここで、ファイアウォールによるアクセス制限を掛け、脆弱性のあるアプリケーションには隣接ネットワークからしかアクセス(攻撃)できない環境を緩和策とします。緩和策では「攻撃元区分=隣接ネットワーク」となるため、評価値は、対策前=7.5、対策後=6.5と算出することになります(図2)。
ここからは、8月9日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
