セキュリティ対策の基礎知識:CVSSで脆弱性のリスクを理解する
セキュリティを知りたい
先生、「CVSS」ってセキュリティを高めるのに役立つ知識らしいんですけど、何だか難しそうで…。簡単に説明してもらえますか?
セキュリティ研究家
「CVSS」は、システムの弱点が見つかった時、それがどれくらい危険なのかを数値で表す仕組みだよ。例えば、家の鍵が壊れているとしよう。CVSSは、その壊れ具合が「ちょっと鍵が回しにくいだけ」なのか、「簡単に壊されてしまうのか」を数値で教えてくれるようなものなんだ。
セキュリティを知りたい
なるほど!つまり、数字が大きいほど危険度が高いってことですね?
セキュリティ研究家
その通り!CVSSは0から10までの数値で危険度を表していて、数字が大きいほど深刻な弱点と判断されるんだ。この数値を参考にすれば、どの弱点から優先的に対策すれば良いかが分かるんだよ。
CVSSとは。
「セキュリティを強固にするための知識として、『CVSS』について解説します。『CVSS』は、『共通脆弱性評価システム』の略称で、情報システムの弱点に関する、誰でも使える共通の評価方法です。このシステムは、基本的な評価、現状の評価、環境による評価の3つの基準で、弱点の深刻度を点数化します。特定の会社に偏らない評価方法なので、弱点管理などで広く使われています。多くの公表されている弱点は、アメリカの国立標準技術研究所が運営するNVDというデータベースで、CVSSの点数をつけて管理されています。 最新版は2023年11月に公開されたCVSSv4.0で、決められた基準に従って弱点の点数を計算します。※正式な定義はFirst.orgの資料などを参照してください。点数は以下のように分類されます。 情報処理推進機構は、CVEとCVSSを使った組織の脆弱性管理の実践方法として、「脆弱性対策:共通脆弱性評価システムCVSS解説動画シリーズ」をYouTubeで公開しています。
はじめに
– はじめにと題して
昨今、情報漏洩やサイバー攻撃といった事件が後を絶ちません。企業が顧客の信頼を失墜させないため、また、社会全体が安全な情報環境を維持していくためにも、情報セキュリティの重要性はますます高まっています。
情報セキュリティを脅かす要因は数多く存在しますが、中でも特に注意が必要なのが、システムやソフトウェアの脆弱性です。悪意のある攻撃者は、これらの脆弱性を突いて、機密情報への不正アクセスやシステムの破壊活動を行います。
膨大な数のシステムやアプリケーションが利用されている現代において、全ての脆弱性に対応することは現実的ではありません。そこで重要となるのが、それぞれの脆弱性の危険度を正しく把握し、優先順位をつけて対策を行うことです。
脆弱性の深刻度を評価するための指標として、広く利用されているのがCVSS(Common Vulnerability Scoring System)です。CVSSは、攻撃のしやすさや影響の大きさといった要素を数値化することで、客観的な指標に基づいた脆弱性の評価を可能にします。
次の章からは、このCVSSについて、具体的な内容を詳しく解説していきます。CVSSを正しく理解し、自社のシステムにとって本当に危険な脆弱性を見極める力を養いましょう。
CVSSとは
– CVSSとはCVSS(共通脆弱性評価システム)は、情報システムの脆弱性が発見された際に、その危険度の深刻さを評価するための指標です。セキュリティ上の弱点を数値化することで、客観的に判断しやすくなるため、多くの組織で活用されています。従来は、脆弱性の評価基準が組織や担当者によって異なり、情報共有や対策の優先順位付けが困難でした。そこで、共通の尺度としてCVSSが開発されました。CVSSでは、主に三つの基準に基づいて評価を行います。* -基本評価基準- 脆弱性の性質や影響範囲といった、脆弱性そのものの特性を評価します。これは、脆弱性が修正されるまで変化しません。攻撃の難易度や悪用される可能性などが考慮されます。* -現状評価基準- システムの現在の運用状況を考慮して評価を行います。既に脆弱性に対する対策が取られているか、攻撃の影響を受ける範囲は限定されているかなどが考慮されます。* -環境評価基準- システムの重要度や利用環境によって評価が異なります。例えば、金融機関の基幹システムと、小規模事業者の社内システムでは、同じ脆弱性であっても重要度が大きく異なるためです。これらの基準に基づき、0から10までの数値(スコア)で脆弱性の深刻度を評価します。スコアが高いほど危険度が高いことを示します。CVSSは、特定の企業や団体に依存しないオープンな評価手法であるため、世界中で広く利用されています。セキュリティ対策の優先順位付けや、脆弱性情報の共有などに役立てられています。
| 基準 | 内容 |
|---|---|
| 基本評価基準 | 脆弱性そのものの特性を評価。攻撃の難易度や悪用される可能性などが考慮。 |
| 現状評価基準 | システムの現在の運用状況を考慮して評価。既に脆弱性に対する対策が取られているか、攻撃の影響を受ける範囲は限定されているかなどが考慮。 |
| 環境評価基準 | システムの重要度や利用環境によって評価。金融機関の基幹システムと、小規模事業者の社内システムでは、同じ脆弱性であっても重要度が大きく異なる。 |
CVSSの活用
– CVSSの活用
脆弱性に関する情報は、日々新たに発見され、公表されています。膨大な量の情報を効率的に処理し、適切な対策を講じることは、組織のセキュリティ対策において非常に重要です。そこで役立つのが、脆弱性の深刻度を数値化する指標であるCVSSです。
CVSSは、「共通脆弱性評価システム」と呼ばれる、脆弱性の危険度を評価するための指標です。この指標を用いることで、異なる種類の脆弱性を客観的に比較し、優先順位を付けることが容易になります。
CVSSは、アメリカ国立標準技術研究所(NIST)が運営する脆弱性情報のデータベースであるNVDなどで公開されており、世界中のセキュリティ専門家によって広く利用されています。また、セキュリティ対策製品やサービスにも数多く活用されており、脆弱性情報の収集や分析、対策の優先順位付けなどを効率的に行うために役立っています。
日本では、独立行政法人情報処理推進機構(IPA)がCVSSを用いた組織の脆弱性管理実践法に関する情報を公開しており、組織におけるセキュリティ対策の強化を支援しています。IPAが公開している情報には、CVSSの基本的な考え方や算出方法、組織における活用方法などが詳しく解説されています。
このように、CVSSはセキュリティ対策の効率化に欠かせないツールとなっています。組織はCVSSを活用することで、限られた資源を有効に活用し、より効果的なセキュリティ対策を実施することが可能になります。
| 項目 | 内容 |
|---|---|
| CVSSとは | 共通脆弱性評価システム。脆弱性の危険度を評価するための指標。 |
| CVSSの役割 | – 異なる種類の脆弱性を客観的に比較し、優先順位を付ける – セキュリティ対策製品/サービスで脆弱性情報の収集や分析、対策の優先順位付けを効率化 |
| CVSSの公開先 | – アメリカ国立標準技術研究所(NIST)が運営するNVD – 独立行政法人情報処理推進機構(IPA) |
| CVSS活用のメリット | 限られた資源を有効活用し、効果的なセキュリティ対策の実施が可能になる。 |
CVSSスコア
– CVSSスコア
CVSSスコアは、情報システムの脆弱性がもたらす脅威の大きさを客観的に評価するために用いられる指標です。0から10までの数値で表現され、数値が大きくなるほど危険度が高いことを示します。
CVSSスコアは、脆弱性が悪用された場合の影響の大きさ、攻撃の成功のしやすさ、機密情報への影響度合いといった複数の要素を考慮して算出されます。
例えば、攻撃が成功するとシステム全体が停止してしまうような脆弱性は、影響範囲が大きいと判断されます。また、特別な技術や知識がなくても容易に攻撃を実行できる脆弱性は、攻撃の成功のしやすさが高いと評価されます。さらに、個人情報や企業秘密といった重要な情報が漏洩する可能性がある脆弱性は、機密情報への影響度合いが大きいとみなされます。
一般的に、CVSSスコアが7以上の場合は危険度が高いとされ、迅速な対応が必要となります。スコアが低い場合でも、システムの重要度や運用状況などを考慮して、適切な対策を講じることが重要です。
| 要素 | 説明 |
|---|---|
| 影響の大きさ | 脆弱性悪用時のシステムへの影響度合い。システム停止など影響が大きいほどスコアは高くなる。 |
| 攻撃の成功のしやすさ | 攻撃の容易性。特別な技術や知識が不要なほどスコアは高くなる。 |
| 機密情報への影響度合い | 個人情報や企業秘密など重要な情報漏洩の可能性。漏洩時の影響が大きいほどスコアは高くなる。 |
最新バージョン:CVSSv4.0
– 最新バージョンCVSSv4.0
2023年11月、脆弱性の深刻度を評価する指標であるCVSS(共通脆弱性評価システム)の最新バージョン、CVSSv4.0が公開されました。このバージョンアップは、セキュリティ対策の精度向上に大きく貢献するものとして注目されています。
CVSSは、発見された脆弱性がシステムに与える影響度合いを客観的に評価するために用いられます。具体的には、攻撃の実行しやすさや影響の範囲などを数値化し、その脆弱性の深刻度を「基本スコア」として算出します。このスコアは0から10までの値を取り、数字が大きいほど危険度が高いことを示します。
今回のバージョンアップでは、評価項目の追加や変更が行われ、より現実に近いリスク評価が可能となりました。例えば、これまで考慮されていなかった「サプライチェーンリスク」に関する項目が追加されたことで、ソフトウェアの開発段階から利用段階までのあらゆるプロセスにおけるリスクを網羅的に評価できるようになりました。
このように、CVSSv4.0はセキュリティ対策の精度向上に大きく貢献するバージョンアップとなっています。最新バージョンに対応することで、組織はより適切なセキュリティ対策を実施し、サイバー攻撃から重要な情報資産を守ることができるようになります。
| バージョン | 概要 | 変更点 |
|---|---|---|
| CVSSv4.0 | 脆弱性の深刻度を評価する指標CVSSの最新バージョン(2023年11月公開) | ・評価項目の追加や変更 ・サプライチェーンリスクに関する項目追加 |
まとめ
今回は、情報システムの安全性を脅かす欠陥である脆弱性の危険度を測るための指標について説明しました。この指標は「共通脆弱性評価システム」と呼ばれ、情報システムの安全対策をどれくらい急ぐべきかを判断する際に非常に役立ちます。
この指標は、基本評価基準、現状評価基準、環境評価基準の三つの基準から成り立ちます。基本評価基準では、脆弱性の性質そのものを評価し、現状評価基準では、脆弱性が実際に悪用されている状況を評価します。そして、環境評価基準では、それぞれの組織におけるシステムの重要度や、脆弱性が悪用された場合の影響の大きさを評価します。
これらの基準に基づいて算出される数値は、0から10までの範囲で表され、数値が大きいほど危険度が高いことを示します。この数値は、情報システムの管理者にとって、脆弱性への対策の緊急度を判断する上で重要な指標となります。
この指標を活用することで、組織は自社のシステムにとって特に注意すべき脆弱性を把握し、適切な対策を優先的に実施することができます。具体的には、この指標に基づいて脆弱性を分類し、危険度の高い脆弱性から順番に対策していくことが重要です。
情報システムの安全性確保は、企業にとって非常に重要です。この指標を理解し、適切な対策を実施することで、組織は安全な情報システムを構築し、維持していくことができます。
| 基準 | 説明 |
|---|---|
| 基本評価基準 | 脆弱性の性質そのものを評価 |
| 現状評価基準 | 脆弱性が実際に悪用されている状況を評価 |
| 環境評価基準 | それぞれの組織におけるシステムの重要度や、脆弱性が悪用された場合の影響の大きさを評価 |