コンピューターセキュリティの分野では、情報システムに対する脅威や脆弱性の評価が重要な課題となっています。特に、異なる脆弱性の深刻さを客観的に評価し、優先順位付けする必要があります。このような課題に対処するために、共通脆弱性評価システム「CVSS(Common Vulnerability Scoring System)」というシステムが開発されました。CVSSは、脆弱性の深刻さを数値化し、組織がリスクを管理し、対処するための基準を提供します。
CVSSは、セキュリティ専門家やシステム管理者、開発者などの利用を支援するために、脆弱性の深刻さを明確に定量化します。このシステムは、脆弱性の深刻さを評価するための標準化された手法を提供することで、情報セキュリティの向上とリスクの最小化に貢献しています。CVSSは、その客観的な評価基準と柔軟性により、広く受け入れられ、広く使用されています。
目次
1. CVSSとは何か?
CVSSは、コンピュータシステムに存在するセキュリティの脆弱性を評価するための国際標準のスコアリングシステムです。脆弱性とは、攻撃者がシステムに侵入したり、データを盗んだりする可能性のあるセキュリティ上の欠陥を指します。
CVSSは脆弱性の深刻さを数値で表します。このスコアは0から10までの範囲で、数値が高いほど脆弱性のリスクが大きいことを意味します。
2. CVSSが作られた背景と歴史
2000年代初頭、世界中のさまざまなシステムや製品で多くのセキュリティ脆弱性が発見されていました。しかし、これらの脆弱性についての情報は組織によって報告の仕方が異なり、一貫性がありませんでした。このため、脆弱性の深刻さを正確に理解し、比較することが困難でした。そこで、脆弱性に関する情報を国際的に共通の形式で報告し、理解する手助けをするためにCVSSが設計されました。
具体的には、2004年10月に米国家インフラストラクチャ諮問委員会(NIAC)のプロジェクトによって原案が作成されました。その後、管理母体として選ばれたFIRSTのCVSS-SIG(Special Interest Group)において適用推進や仕様改善が行われ、下記表のような進展を遂げてきました。
| CVSSバージョン | リリース日 |
|---|---|
| CVSS v1 | 2005年6月 |
| CVSS v2 | 2007年6月 |
| CVSS v3.0 | 2015年6月 |
| CVSS v3.1 | 2019年6月 |
| CVSS v4.0 | 2023年11月 |
2024年5月17日現在 CVSS v4.0が最新バージョンであり、 直前のバージョンであるCVSS v3.1 と比較して以下のような特徴があります。
- 基本評価基準の細かい粒度化
- 下流のスコア付けの曖昧さの除去 (「スコープ」項目の除去)
- 脅威指標の簡素化によるスコアリングへの影響向上
- 脆弱性対応のための補助評価基準の追加
- OT/ICS/IoTへの適用
3. CVSSの要素と評価方法
CVSSは、脆弱性の深刻さを評価するためにいくつかの要素を考慮します。この要素には、基本評価基準(Base Metrics)、現状評価基準(Temporal Metrics)、環境評価基準 (Environmental Metrics)が含まれます。
●基本評価基準
情報セキュリティの3要素である「機密性( Confidentiality Impact )」「完全性( Integrity Impact )」「可用性( Availability Impact )」に対する影響を評価し、CVSS基本値(Base Score)を算出します。
●現状評価基準(CVSS v4.0より脅威評価基準に改名)
現時点における深刻度を評価し、CVSS現状値(Temporal Score)を算出します。なお、この基準による評価結果は、脆弱性の対応への評価に応じて、時間の経過で変化します。
●環境評価基準
製品を利用する側の利用環境も含めた脆弱性の最終的な深刻度を評価します。なお、この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザごとに変化します。
CVSSの評価方法は、これらの要素を総合的に考慮して数値スコアを計算し、脆弱性の深刻さを表現します。
また、CVSS v4.0 では以前のバージョンと異なり、以下のような 命名規則(CVSS-B,CVSS-BT,CVSS-BE,CVSS-BTE)によるスコア算出方式が提供されました。
この数値スコアを利用することで、セキュリティ専門家やシステム管理者は脆弱性に対する対策やリスク管理の優先順位を付ける手助けとなります。
4. CVSSの利点と課題
CVSSの利点は以下の通りです。
●標準化された評価
CVSSは脆弱性の深刻さを数値化し、標準化された評価基準を提供します。これにより、脆弱性を容易に比較し、優先順位付けできます。
●リスクの正確な理解
CVSSスコアは脆弱性の深刻さを示し、その脆弱性が組織やシステムに与える影響を理解するのに役立ちます。これにより、適切な対応策を講じるためのリスク評価が可能になります。
●対応の順位付け
CVSSスコアを使用することで、組織はリソース(人員、工数等)を最も重要な脆弱性に割り当てることができます。これにより、リスクの高い脆弱性に対処することが優先されます。
以下がCVSSスコアを5段階に分類した表になります。スコア値が高いほど深刻度が増します。
| 深刻度 | スコア |
|---|---|
| 緊急 (Critical) | 9.0~10.0 |
| 重要 (Important) | 7.0~8.9 |
| 警告 (Warning) | 4.0~6.9 |
| 注意 (Attention) | 0.1~3.9 |
| なし (None) | 0 |
また一方で、CVSSには以下のような課題も存在します。
●主観的な要素の存在
CVSSは一部のメトリクス(指標)を人為的に決定する必要があります。例えば、脆弱性の深刻さや攻撃可能性を評価する際に、主観的な判断が必要となります。これにより、異なる評価者が同じ脆弱性に対して異なるスコアを与えることがあります。
●評価の限界
CVSSはセキュリティ脆弱性の深刻さを評価するためのフレームワークですが、すべての脆弱性に対して適切な評価ができるわけではありません。特定の状況やコンテキストによっては、CVSSスコアだけでは脆弱性のリスクを正確に評価することが難しい場合があります。
●適用範囲の制限
CVSSは特定の脆弱性に焦点を当てており、それを利用して対策を講じるための指針を提供します。しかし、システム全体のセキュリティリスクを評価するためには、CVSSだけでなく他の手法やツールも必要となる場合があります。
5. CVSSの活用
CVSSは、以下のような様々な方法で活用されています。
●脆弱性管理
CVSSは組織が発見したセキュリティ脆弱性の深刻さを評価するために広く使用されています。セキュリティチームはCVSSスコアを利用して、脆弱性の深刻さを理解し、適切な対応策を講じることができます。
●バッチ管理
ソフトウェアベンダーやセキュリティチームは、CVSSスコアを使用して、特定の脆弱性に対する修正やパッチの優先順位を決定します。CVSSスコアが高い脆弱性は、すぐに修正すればよいことがわかり、スコアの低い脆弱性に対しては対処のタイミングを選ぶことができます。
●リスク管理
組織はCVSSスコアを使用して、システムやアプリケーションに関連するリスクを評価し、優先順位付けします。これにより、組織はリソースを最も重要なリスクに割り当てることができます。
●セキュリティインシデント対応
セキュリティインシデントが発生した際に、CVSSスコアを使用して、インシデントの深刻度を判断し、適切な対応策を講じます。より高いCVSSスコアを持つインシデントは、より迅速かつ効果的に対処されます。
●コンプライアンス
CVSSは一般的に、セキュリティ関連の規制や標準の要件を満たすための指標として使用されます。組織はCVSSスコアを使用して、セキュリティポリシーやコンプライアンス要件を満たすことができます。
これらの方法を使用して、CVSSを活用することで、組織はより効果的なセキュリティ対策を実施し、セキュリティリスクを最小限に抑えることができます。
6. まとめ
CVSSはセキュリティ評価の標準化とリスク管理を支援する重要なツールです。利点は柔軟性と普遍性にありますが、特定の状況下における影響評価の難しさや課題・過小評価のリスクもあります。CVSSを1つの基準として活用しつつ、総合的なセキュリティ戦略に組み込むことが重要です。
お問い合わせ・関連リンク
弊社、サイエンスパーク株式会社は1994年の創業より、ソフトウェア・ハードウェアのセキュリティ対策をおよそ30年に渡り続けてまいりました。
各種製造・開発におけるセキュリティリスクの診断から対策導入・運用までのお手伝いが可能ですので、ご相談だけでもお気軽にお問い合わせくださいませ。