日経NETWORK 2016年7月号からの転載です。記事は当時の状況を解説しています。
会社の情報システムを管理する担当者にとって、頻繁に発見される脆弱性への対処は頭が痛いことでしょう。自分たちが使っているアプリケーションやライブラリーの脆弱性がアナウンスされたら、脆弱性を利用する攻撃を止める修正プログラム(パッチ)の適用を検討します。そのとき、パッチの適用によってシステムに不具合をもたらさないかどうかの検証が必要です。この作業には時間と手間がかかります。
では、同時に複数の脆弱性が見つかったらどうしますか。あれもこれも一度に対策できませんし、現場が疲弊するのが目に見えています。答えは、優先順位を付けて対処することです。ベンダーや公的機関は、脆弱性への対処の重要度(脆弱性の影響度)について「緊急」「重要」などといったランク付けをしていますが、緊急や重要なものばかりの可能性もあります。筆者は、ユーザーのシステムに対する脆弱性の影響度を自ら評価し、その優先順位を付けて対処すべきと考えます(図1)。
そうはいっても、「あまりセキュリティに詳しくないし、自分で脆弱性を評価するなんて無理」と思う人もいるでしょう。しかし公開されている評価手法を使えば、簡単に評価できます。今回は、情報処理推進機構(IPA)が紹介している評価手法「CVSS▼」(共通脆弱性評価システム)の使い方を解説します。
公的機関も使うCVSS
CVSSは、脆弱性を評価するための手法です。v3が最新版ですが、移行期なのでv2も広く使われています。
実は、ベンダーや公的機関が公開する脆弱性情報に含まれる影響度も、CVSSを使っている場合があります。しかしベンダーや公的機関の評価は、アプリケーションやライブラリーが持つ脆弱性によって最も被害が大きくなるケースを想定しています。そのため、脆弱性の影響度が高く評価されやすくなっています。だから自ら評価したほうがよいのです。なお、ベンダーや公的機関の脆弱性評価は、CVSSのv2もしくは両バージョンを採用しています。
CVSSでは、複雑な計算式で評価結果の値を算出します。評価基準のパラメーターを選択するだけで自動で計算できるツール(Webアプリケーション)も公開されています。
三つの基準で総合的に評価
CVSSを使うためには、どんなパラメーターを入力するのか知っておく必要があります。まずCVSSの評価基準には、「基本評価基準」「現状評価基準」「環境評価基準」の三つがあります(図2)。それぞれ見ていきましょう。
基本評価基準は、脆弱性の特性を評価する基準です。攻撃元区分や攻撃条件の複雑さ、攻撃前の認証が必要かどうかに加え、機密性、完全性、可用性といった基本的なセキュリティ特性への影響を基に、基準値を算出します。このうち攻撃元区分は、インターネットから攻撃が可能か、ローカルでのみ攻撃可能かなど、どこから脆弱性を利用して攻撃できるかを示します。基準値を大きく左右するパラメーターの一つです。
現状評価基準は、脆弱性の現在の深刻度を評価する基準です。攻撃される可能性や、利用可能な対策のレベル、脆弱性情報の信頼性を検討します。この現状評価基準は、三つの評価基準の中でも特に重要だと考えています。なぜなら、攻撃コードの有無など「攻撃される可能性」を考慮するからです。いくら理論上は危険とされる脆弱性であっても、攻撃コードが存在せず、攻撃を受ける可能性が低ければ対処の緊急度は下がります。
環境評価基準は、ユーザーの環境も含め、最終的な深刻度を評価する基準です。二次被害の可能性や影響を受ける対象システムの範囲、対象システムの要求度で評価します。