Introduction
近年、OSやソフトウェア、アプリケーションなどに潜む、脆弱性を狙ったサイバー攻撃が高度化・多様化しています。そのようなサイバー攻撃を防ぐためには、脆弱性対策を行うことが重要です。しかし、数ある脆弱性への対策を行う際には、脆弱性の深刻度を比較して、対応の優先順位を決める必要があります。その際に役立つのが、脆弱性の深刻度の基準となるCVSSです。
この記事では、CVSSについての基本情報や最新のCVSS v4.0の変更点、CVSSを活用するメリットなどを解説します。
目次
CVSSとは?
CVSSとは、脆弱性がどれだけ深刻かを評価するために用いられる指標のことです。
ここでは、CVSSの基本情報や脆弱性とは何か、最新バージョンのCVSS v4.0についてご説明します。
脆弱性の深刻度を評価するための指標
CVSSとは、米国家インフラストラクチャ諮問委員会(NIAC)によって作成された、共通脆弱性評価システムです。現在は、国際的なサイバーセキュリティ団体のFIRST(Forum of Incident Response and Security Teams)のCVSS-SIG(Special Interest Group)が管理し、CVSS適用の推進や仕様改善などを行っています。
2023年11月に、最新バージョンであるCVSS v4.0の提供が開始されました。
CVSS-SIGに参画しているIPA(情報処理推進機構)は、『共通脆弱性評価システムCVSS v3概説』で、CVSSについて次のように定義しています。
CVSS
脆弱性の深刻度を評価するための指標
脆弱性とは、OSやソフトウェアなどの製品で、プログラムの不具合や設計ミスなどにより発生した、サイバーセキュリティ上の欠陥のことです。製品に存在するバグを利用して、サイバー攻撃がしかけられることもあり、このようなバグを脆弱性と呼びます。
たとえば、Webサイトなどの入力フォームに、データベースの内容を書き換えたり、参照したりするSQL文が仕込まれることで、情報が盗まれることがあります。このような攻撃は「SQLインジェクション」と呼ばれ、WebサイトにSQLインジェクションを防ぐ対策がとられていないという脆弱性が利用されているのです。
脆弱性は多くの製品に存在し、膨大な数になります。そこで、脆弱性をベンダーに依存しない共通の方法で評価できる、CVSSが作成されました。
▽あわせて読みたい▽
>>SQLインジェクションとは?手口や被害事例、対策をわかりやすく解説のページへ
最新のCVSS v4.0について
CVSSは、2004年10月に米国家インフラストラクチャ諮問委員会(NIAC)によって作成され、その後もバージョンアップを重ねています。そして、2023年11月に4年ぶりに改訂が行われ、CVSS v4.0の提供がはじまりました。
CVSS v3.0と比べると、基本評価基準が改善され、脆弱性の深刻度をより精密に評価できるようになっています。また、サイバー攻撃の難易度を表す項目や、攻撃による影響を表す項目、環境評価基準などが追加、変更されました。
また、あらたに「補助評価基準」が加わり、従来は対応していなかったIoTやICSにも対応できるようになっています。
CVSS v4.0の評価基準
ここでは、最新バージョンであるCVSS v4.0の評価基準について、ご説明します。
①基本評価基準(Base Metrics)
この基準では、脆弱性そのものにフォーカスをあてています。
評価基準の内容は、以下のとおりです。
・攻撃元区分
・攻撃条件の複雑さ
・攻撃の実行条件(CVSS v4.0で追加)
・必要な特権レベル
・ユーザ関与レベル(CVSS v4.0で変更)
・機密性への影響
・完全性への影響
・可用性への影響
・後続システムの機密性への影響(CVSS v4.0で追加)
・後続システムの完全性への影響(CVSS v4.0で追加)
・後続システムへの可用性への影響(CVSS v4.0で追加)
上記のとおり、攻撃の実行条件、機密性、完全性、可用性に関する後続システムへの影響が追加されたことで、より細かく評価できるようになっています。従来のスコープから、後続システムへの影響に変更されたことで、脆弱性の悪用によりシステムへどのような影響を与えるのかをより明確に表現できます。また、ユーザ関与レベルの評価値の選択肢が二択から三択になり、表現の幅が広がりました。
②脅威評価基準(Threat Metric)
この基準では、脅威の動向にフォーカスをあてています。
評価基準の内容は、以下のとおりです。
・攻撃される可能性
なお、CVSS v4.0で、現状評価基準から脅威評価基準に名称変更されています。
③環境評価基準(Environmental Metrics)
この基準では、システムの稼働環境にフォーカスをあてています。
評価基準の内容は、以下のとおりです。
・緩和策実施後の基本評価の再評価(CVSS v4.0で内容変更)
・機密性の要求度
・完全性の要求度
・可用性の要求度
④補助評価基準(Supplemental Metrics)
CVSS v4.0であらたに追加された基準で、脆弱性の対応にフォーカスをあてています。これは、補助的に脆弱性の特性を追記するための基準で、CVSSの算出には使用されません。
評価基準の内容は、以下のとおりです。
・自動化可能性
・回復可能性
・安全性
・価値密度
・対応の困難度
・供給者による緊急度
CVSS v4.0のスコアの種類
上記でご説明した基準値からスコアを算出し、脆弱性の深刻度を0.0~10.0の数値で表します。スコアが高ければ高いほど脆弱性の深刻度が上昇し、対策の優先度があがります。
存在する脆弱性の数は非常に多く、優先順位をつけなければ対応はむずかしいでしょう。そこで、CVSSスコアを算出して比較すれば、組織や企業が脆弱性対策を行う際の判断材料として活用することが可能です。
CVSS v4.0のスコアは、CVSS-B、CVSS-BT、CVSS-BE、CVSS-BTEの4種類があります。それぞれのスコアは、上記でご説明した基準値、基本評価基準、脅威評価基準、環境評価基準から、以下のように算出されます。
CVSS v4.0のスコア | 算出方法 |
CVSS-B | 基本評価基準(Base Metrics) |
CVSS-BT | 基本評価基準(Base Metrics) ×脅威評価基準(Threat Metrics) |
CVSS-BE | 基本評価基準(Base Metrics) ×環境評価基準(Environmental Metrics) |
CVSS-BTE | 基本評価基準(Base Metrics) ×脅威評価基準(Threat Metrics) ×環境評価基準(Environmental Metrics) |
CVSS v4.0では上記のとおり、使用される評価基準がスコアの名称にそのまま使用されるようになり、評価基準の内容が明確になりました。
CVSSの計算方法
CVSSのスコアを計算する際には、JVN(Japan Vulnerability Notes)の『VSS計算ソフトウェア多国語版』を利用できます。JVNは、JPCERT コーディネーションセンターと、独立行政法人情報処理推進機構 (IPA)が共同で運営する、脆弱性対策のためのポータルサイトです。
現状、CVSS v3.1までには対応していますが、まだCVSS v4.0には対応していないので、ご注意ください。
CVSSを利用するメリット
CVSSの仕組みを活用してスコアをつけると、どのようなメリットがあるのでしょうか。世のなかに存在するOSやソフトウェアなどの脆弱性は非常に多く、すべてに対応することは困難です。そのような場合に、CVSSスコアを活用することで、対応すべき脆弱性の優先順位づけを行うことが可能です。
ここでは、脆弱性の優先順位づけに役立つ、CVSSの具体的なメリットについて解説します。
同一基準のもとで深刻度を比較できる
CVSSは、OSやソフトウェアなどのベンダーに依存しない国際的な基準です。2004年に原案が作成された当初は、米国家インフラストラクチャ諮問委員会(NIAC)が管理していました。その後は、国際的なサイバーセキュリティ団体のFIRSTのCVSS-SIGにおいて、運営や仕様変更、改善などが行われています。
CVSSを用いれば、全世界で共通のベンダーに依存しない中立な基準で、脆弱性の深刻度を比較できます。どの製品においても、脆弱性の深刻度を同一の基準で比較できるのが、もっとも大きなメリットです。
さまざまな種類の製品を使用するなかで、どの製品のどの脆弱性の対策を優先的に行うべきかを検討する必要があります。しかし、それぞれの製造元のベンダーが、別々の基準で脆弱性の深刻度を表現しても、それらを比較することはむずかしいでしょう。
そこで、あらゆる脆弱性の深刻度を同一基準で比較できる評価基準のCVSSがあれば、同じ基準で比較できます。その結果、数ある脆弱性のなかから、対応すべき脆弱性はどれかを検討しやすくなるでしょう。
対策の優先順位を決めやすくなる
OSやソフトウェアなどに存在する脆弱性のなかでも、すみやかに対処すべき緊急性が高いものと、そこまで緊急性が高くないものが存在します。そのなかで、どの脆弱性を優先的に対応すべきかを決める際に、CVSSが役立つのです。
この脆弱性を利用されると、社内の機密情報が漏洩する可能性がある、DoS攻撃を受けてサーバーがダウンするかもしれないなどの場合には、優先度をあげて対処する必要があります。しかし、それほど重要な情報を扱っていないシステムの脆弱性だった場合や、攻撃を受けたとしても影響が軽微である場合などは、優先度が低いでしょう。
このように、脆弱性の影響度合いなどを比較して、対策の優先順位を決める際に、CVSSは非常に役立つのです。それぞれの脆弱性の性質や状況などからCVSSのスコアを計算し、定量的に脆弱性の深刻度を比較できます。CVSSを用いれば、全世界共通の基準で脆弱性対策の優先順位を判断でき、脆弱性対策の内容を決定しやすくなるでしょう。
関係者同士の認識・言語が共通化される
CVSSは、全世界共通の脆弱性の深刻度を測る指標です。この指標を用いれば、脆弱性の深刻さや影響度合いなどを共通の認識・言語で、関係者同士が論じることが可能です。
脆弱性について関係者が意見を交わす際に、それぞれが別々の指標や表現方法を用いると、議論が複雑になってしまいます。たとえば、誰かがサイバー攻撃の複雑さに重点を置いて考えているのに対し、ほかの誰かはシステムへの影響度合いの問題を重視しているとします。この場合、どちらが正しいのか、どちらの考えを採用すべきなのかを決めるためには、問題の度合いや定義から議論しなければならないでしょう。
しかし、CVSSの基本評価基準のなかで、それぞれ攻撃条件の複雑さと機密性・完全性・可用性への影響が定められています。そして、それぞれの評価の仕方や、これらの基準を用いたCVSSスコアの算出方法が定められており、それに従ってスコアを算出して比較することで、脆弱性を評価することが可能です。
このように、CVSSの評価基準では、脆弱性を考える際に必要な要素について、すでに定義されています。その定義や基準に従って評価した結果を活用することにより、関係者同士が共通の認識や言語で、脆弱性について論じることが可能です。
CVSSの理解に欠かせない、情報セキュリティの3要素
サイバーセキュリティについて検討する際に欠かせないのが、機密性、完全性、可用性の3つの要素です。企業などがセキュリティ対策を検討する際には、これらの3つの要素についてセキュリティの脅威を検証し、情報資産を守らなければなりません。
上記でご説明したとおり、CVSS v4.0の評価基準のなかでも、基本評価基準や環境評価基準にこれらの3つの要素が登場します。それぞれの要素において、システムへの影響などを考慮することは、とても重要です。
ここでは、機密性、完全性、可用性の3つの要素が、それぞれどのようなものなのかをご説明します。
機密性(Confidentiality)
機密性とは、許可されたユーザーや正規のユーザーだけが、データにアクセスできるようにすることを指しています。
たとえば、社内システムにアクセスできるのは社員IDをもつ従業員だけ、管理者権限をもつ管理職のみが機密情報にアクセスできるなどです。アカウント管理などを行い、情報の機密性を保つことで、外部の人間による不正アクセスや内部犯行による情報漏洩などを防ぐ必要があります。
完全性(Integrity)
完全性とは、情報に欠損や改ざんなどが起こらないよう、つねに最新の状態を保てるようにすることです。
データが外部の人間などに改ざんできる状態だと、そのデータは信頼できないものになってしまいます。データの完全性を保つことで、データの信頼性を保証できます。
可用性(Availability)
可用性とは、必要なときに情報システムや情報資産を利用できる状態に保つことです。
システムの故障やサーバーダウン、地震や火災などの災害、事故などが起こった際にも、システムが稼働できる状態に保つ必要があります。可用性が高ければ、社内の業務効率の向上、顧客の満足度の向上などにつながるでしょう。
まとめ
この記事では、CVSSについての基本情報や最新のCVSS v4.0の変更点、CVSSを活用するメリットなどについて解説しました。
数ある脆弱性への対策を行う際には、脆弱性の深刻度を比較して、対応の優先順位を決める必要があります。その際に役立つのが、脆弱性の深刻度の基準となるCVSSです。
SHIFTでは脆弱性診断サービスを行っており、セキュリティ基準の高い金融業界をはじめ、多数の企業様に導入いただいています。高品質な脆弱性診断サービスを利用したい場合には、お気軽にご相談ください。
SHIFTの脆弱性診断サービスはこちらをご覧ください。
>>セキュリティ(脆弱性)診断サービスページへ