脆弱性とは?セキュリティ上の欠陥のことです!

脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスによって発生する情報セキュリティ上の欠陥で、「セキュリティホール」とも呼ばれます。

サイバー攻撃は脆弱性を狙って行われることが多く、放置しておくとシステム障害やデータの改ざん、情報漏洩などが引き起こされる恐れがあります。

また、情報の運用面や管理面の不備や、意識レベルの低いユーザーのような人的な要因によっておきるリスクも脆弱性にあたります。
この情報システムの脆弱性の深刻度を同一の基準で定量的に比較する評価手法が「CVSS」です。

なお、脆弱性診断についての説明は、下記コラムをご参考ください。

CVSS(Common Vulnerability Scoring System)~セキュリティの脆弱性の深刻度を評価するためのシステム~

「CVSS(Common Vulnerability Scoring System)」は、日本では「共通脆弱性評価システム」とも呼ばれます。

情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指して、米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)によって2004年10月に原案が作成されました。

その後、2005年6月にCVSS v1、2007年6月にCVSS v2が公開されました。
2022年現在ではv3が最新バージョンとなります。

CVSSは「基本評価基準」「現状評価基準」「環境評価基準」の3つの基準で情報システムの脆弱性の深刻さを評価します。
脆弱性の深刻度を計算し、スコア化することで脆弱性の程度がわかりやすくなります。
脆弱性に対してオープンで汎用的な評価方法だとされており、ベンダーに依存しない評価を提供します。

CVSSは、1.0から10.0までの数値で緊急度を判定します。
7.0以上が危険とされており、被害を防ぐために迅速な対応が必要となります。

CVSSの3つの基準とは?

脆弱性を判断する、CVSSの3つの基準についてみていきましょう。

基本評価基準 (Base Metrics)

「基本評価基準」は、脆弱性そのものの特性を評価する基準で、脆弱性の深刻度を表します。

情報システムに求められるセキュリティ特性である「機密性( Confidentiality Impact )」「完全性( Integrity Impact )」「可用性( Availability Impact )」に対する影響を評価し、CVSS基本値(Base Score)を算出します。

現状評価基準 (Temporal Metrics)

現状の深刻度を評価し、CVSS現状値(Temporal Score)を算出します。
「現状評価基準」の評価結果は、脆弱性の対応への評価に応じて、時間の経過で変化します。

環境評価基準 (Environmental Metrics)

脆弱性の最終的な深刻度を、製品を利用する側の利用環境も含めて評価します。
サイバー攻撃を受けた場合の被害の大きさなどを評価し、CVSS環境値(Environmental Score)を算出します。

CVSSのv2とv3の違いを解説!

CVSSにもバージョンがあり、現状の最新バージョンはv3となっています。

企業などの組織における情報セキュリティに関する問題、これを「セキュリティインシデント」といいますが、この対応を行う枠組みを「CSIRT(シーサート:Computer Security Incident Response Team)といいます。

この「CSIRT」の世界的な集まりが、コンピュータセキュリティに関する国際フォーラム「FIRST(Forum of Incident Response and Security Teams)」です。
「FIRST」はグローバルなセキュリティ対策を実現するため、「CSIRT」の情報の収集、提供、共有をサポートしています。

2015年6月に行われた「FIRST」において、CVSSのv3が公開されました。
v2とv3の主な違いは、

  • 「必要な特権レベル」「ユーザ関与レベル」の項目が追加され、v2までの「攻撃前認証要否」は「必要な特権レベル」の一部として評価される
  • サイバー攻撃を受けた場合の影響範囲を分類する「スコープ」を導入
  • サイバー攻撃による機密性や完全性への影響については、影響を受ける範囲ではなく、重要な情報に対する影響の有無を評価する

といったことがあげられます。

CVSSのスコアの計算方法!おすすめの計算ツールもご紹介!

CVSSのスコアは、

  • CVSS基本値(Base Score):((0.6×影響度)+(0.4×攻撃容易性)-1.5)×f(影響度)
  • CVSS現状値(Temporal Score):基本値×攻撃される可能性×利用可能な対策のレベル×脆弱性情報の信頼性
  • CVSS環境値(Environmental Score):(調整後現状値 +(10- 調整後現状値)×二次的被害の可能性)×影響を受ける対象システムの範囲

という計算方法で算出されます。
スコアの計算方法は非常に複雑ですが、脆弱性対策情報データベースである「JVN iPedia」のサイトで選択肢を入力することで、自動的に計算することができます。

脆弱性対応のためにCVSSでどのように評価する?評価事例を紹介!

基本的評価基準は、

  • 攻撃元区分
  • 攻撃条件の複雑さ
  • 攻撃に必要な特権レベル
  • 利用者の関与
  • 影響の想定範囲
  • 機密性への影響
  • 完全性への影響
  • 可用性への影響

を評価します。

現状評価基準は、

  • 攻撃される可能性
  • 利用可能な対策のレベル
  • 脆弱性情報の信頼性

を評価します。

環境評価基準は、

  • 機密性の要求度
  • 完全性の要求度
  • 可用性の要求度
  • 緩和策後の攻撃元区分
  • 緩和策後の攻撃条件の複雑さ
  • 緩和策後の攻撃に必要な特権レベル
  • 緩和策後の利用者の関与
  • 緩和策後の影響の想定範囲
  • 緩和策後の機密性への影響
  • 緩和策後の完全性への影響
  • 緩和策後の可用性への影響

を評価します。

以上の項目を「JVN iPedia」のサイトで入力することで、それぞれの基準のCVSSスコアが算出されます。

CVSSスコアは、深刻度のレベルを0(低)~10.0(高)の数値で表します。

9.0~10.0 緊急
7.0~8.9 重要
4.0~6.9 警告
0.1~3.9 注意
0 なし

「緊急」「重要」レベルの脆弱性が出た場合は、システムが完全に制御されるような脅威、情報が漏洩するような脅威、情報が改ざんされる脅威の可能性があります。
今すぐ対応する必要があるでしょう。

また、「警告」「注意」レベルの脆弱性が出た場合でも、可能性が低いとはいえ、サービスが停止するような脅威、一部のデータが漏洩するような脅威、一部のデータが改ざんされる脅威につながる恐れがあります。

2021年に開示された脆弱性の数は2万8695件にもなりました。これは過去最大の件数です。
その中でも「Apache Log4j 2におけるリモートコード実行の脆弱性」「Zoho ManageEngineにおける認証バイパスの脆弱性」「Microsoft Exchange Serverにおける複数のリモートコード実行の脆弱性」といった事例が注目されました。

脆弱性を放置していると、大きな被害につながります。
CVSSを用いると、ベンダー、システム管理者、ユーザなどの間で、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。
上手に活用し、適切に対応しましょう。

クレジットカードの使用する際にはしっかりとしたセキュリティ意識を持って、より安全・快適な使用を心がけましょう。

CVCCに準拠したシステムを開発するには

脆弱性を客観的に判断するものとして、CVCCを評価基準として用いることは有効な方法です。

とはいえ、CVCCの基準を達成するには、構築当初からセキュリティを考慮し構築を行う必要があります。

Samuraiでは、目的と予算に合わせ、開発からセキュリティ診断の手配まで行う事が可能ですので、お気軽にご相談ください。

株式会社Samuraiお問い合わせフォーム

この記事を書いた人