TOP

このエントリーをはてなブックマークに追加
システム開発知識が集うサイト
JVN(Japan Vulnerability Notes)
JVNは、国内で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供するポータルサイトであり、独立行政法人 情報処理推進機構(IPA)とJPCERTコ-ディネーションセンター(JPCERT/CC)とが共同で運営している。
JVNでは、脆弱性関連情報を収集するだけでなく、製品開発者との調整を通じ、対策方法や対応状況も掲載している。
製品開発者の対応状況には、脆弱性に該当する製品の有無、回避策(ワークアラウンド)や対策情報(パッチなど)も含まれる。
JVNでは、脆弱性を識別するための識別子としてCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)を採用している。CVEは個別の製品に含まれる脆弱性を対象としており、米国政府の支援を受けた非営利団体のMITRE社が採番している。
また、脆弱性の種類を識別するための共通基準としてCWE(Common Weakness Enumeration:共通脆弱性タイプ一覧)がある。
CWEでは、SQLインジェクション、クロスサイトスクリプティングなど、脆弱性の種類(脆弱性のタイプ)の一覧を体系化して提供している。
そして、脆弱性の深刻さを評価する仕組みとしてCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)がある。
CVSSは、IT製品の脆弱性に対するオープンで汎用的な評価手法であり、ベンダに依存しない共通の評価方法を提供している。
(情報セキュリティスペシャリスト2016年版 P141)
共通脆弱性評価システム:CVSS(Common Vulnerability Scoring System)

共通脆弱性評価システム:CVSS(Common Vulnerability Scoring System) ベンダに依存しない共通の方法で脆弱性の深刻度を評価するシステムです。 CVSSには、基本評価基準、現状評価基準、環境評価基準の三つの基準があります。

基準 概要
基本評価基準
(Base Metrics) 		脆弱性そのものの深刻さを評価する基準。
脆弱性を悪用すると機密性・完全性・可用性にどの程度影響するのか、悪用のされやすさなどの観点から評価する。

脆弱性そのものの特性を評価する基準。
機密性、完全性、可用性に対する影響を評価し、CVSS基本値(Base Score)を算出する。
現状評価基準
(Temporal Metrics) 		脆弱性の現在の深刻さを評価する基準。
攻撃手法や対策が存在するかなどの観点から評価する。攻撃手法が公開されると深刻さが増すなど、時間の経過とともに変化する。

脆弱性の現状の深刻度を評価する基準。
攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出する。
環境評価基準
(Environmental Metrics) 		製品利用者の環境を考慮し、最終的な深刻さを評価する基準。
対象システムに機密性・完全性・可用性をどの程度要求するか、攻撃を受けた場合の被害の大きさなどの観点で評価する。

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準。
攻撃による被害の大きさや対象製品の使用状況といった基準で評価し、CVSS環境値(Emvironmental Score)を算出する。
参考
絶対わかる情報処理安全確保支援士 2017年春版 P235
情報セキュリティスペシャリスト2016年版 P142

CVSS基本値
CVSS基本値は、基本評価基準値を基に算出した、脆弱性の深刻度のスコアリングです。最大10.0で、値が大きいほど深刻になります。
以下は、CVSSv3の深刻度とスコアです。
深刻度 スコア
緊急 9.0~10.0
重要 7.0~8.9
警告 4.0~6.9
注意 0.1~3.9
なし 0

参考までに、CVSSv2では深刻度スコアを以下のように分類していました。

深刻度スコア レベル 脅威の例
10.0~7.0 レベルⅢ ・リモートからシステムを完全に制御されるような脅威
・大部分の情報が漏えいするような脅威
・大部分の情報が改ざんされるような脅威
・例:全システムが停止するようなDoS、OSコマンドインジェクション、SQLインジェクション、バッファオーバーフローを使う任意命令実行など
6.9~4.0 レベルⅡ ・一部の情報が漏えいするような脅威
・一部の情報が改ざんされるような脅威
・サービス停止に繋がるような脅威
・例:クロスサイトスクリプティング、一部の情報が漏えいするようなディレクトリトラバーサル、一部のシステムが停止するようなDoSなど
・その他:レベルⅢに該当するが再現性が低いもの
3.9~0.0 レベルⅠ ・攻撃するために複雑な条件を必要とする脅威
・その他:レベルⅡに該当するが再現性が低いもの
脆弱性の深刻度評価の新バージョンCVSS v2への移行について(IPAのサイト)

◆参考にしたサイト
1. 共通脆弱性評価システムCVSS v3概説(IPAのサイト)
2. 共通脆弱性タイプ一覧CWE概説(IPAのサイト)
3. 脆弱性の深刻度評価の新バージョンCVSS v2への移行について(IPAのサイト)
◆参考にした書籍
1. 絶対わかる情報処理安全確保支援士 2017年春版
 ※上記1.の2018年度版はこちら(絶対わかる情報処理安全確保支援士 2018年春版)

1. 情報セキュリティスペシャリスト2016年版
 ※上記2.の2019年度版はこちら(情報処理教科書 情報処理安全確保支援士 2019年版)