脆弱性情報の指標 -CVE, CWE, CVSS-

脆弱性についての情報を確認すると、沢山の指標に基づいて情報を判断する必要が出てきます。それらの指標の中でも有名なCVE, CWE, CVSSがどういったものなのかを簡単に紹介したいと思います。

CVE（共通脆弱性識別子）

世界的に一意な脆弱性情報の指標で、Common Vulnerabilities and Exposuresの略称です。
識別子であるCVE-IDはCVE-YYYY-NNNNといった形式で表現します。
ちなみに、有名なLog4Shell（log4jの脆弱性）のCVE-IDはCVE-2021-44228です。

• 脆弱性情報に対して振られる世界的に一意なID（発行された年と通番）

• アメリカのMITER（マイター）社が管理

• 脆弱性情報を提供する組織やサービス向けにCVE互換認定制度がある

NVD

米国国立標準技術研究所（NIST）が運営する脆弱性データベースで、National Vulnerability Databaseの略称です。
後述するCVSSやCWEなどの指標を利用して、CVEの詳細情報を管理しています。

JVN

CVE互換の認定を受けたJPCERT/CCとIPAが共同で運営している日本国内における脆弱性情報の収集ポータルサイトで、Japan Vulnerability Notesの略称です。
CVE互換の認定を受けた団体で管理されているため、JVNのデータベース（JVN iPedia）はCVEとの相互参照や関連付けが可能となっています。

CWE（共通脆弱性タイプ）

世界的に一意な脆弱性の分類の指標で、Common Weakness Enumerationの略称です。
識別子であるCWE IDはCWE-NNといった形式で脆弱性を分類します。
ちなみに、有名な脆弱性であるSQLインジェクションはCWE-89です。

• 脆弱性の分類に対して振られる世界的に一意なID

• アメリカのMITER（マイター）社が管理

• 脆弱性情報を提供する組織やサービス向けにCWE互換認定制度がある

CVSS（共通脆弱性評価システム）

脆弱性に対してのオープンで汎用的なスコアリング手法で、Common Vulnerability Scoring Systemの略称です。
CVSSv3.1が現在良く利用されているバージョンですが、2023年11月にv4.0が正式公開されて話題になっていました。

• 0.1 - 10.0を4つのレベル（Low, Medium, High, Critical）でスコアリング

• FIRST（CSIRTコミュニティで形成する国際的な非営利団体）が管理

• 高スコアであっても必ず対応が必要とは限らない（課題）

SSVC

CVSSの実際の対応の必要性が不明瞭な点の課題に対して、対応判断を汎用的に行うための指標として注目を浴びている。
SSVC決定木を利用してステークホルダー毎にどういった対応を取るべきか判断することができます。（至急なのか、定期メンテナンスまで放置かなど）
CVSSを逆から読むとSSVCとなるのですが、アナグラム的な要素を狙っていたのかどうかは不明です。。。

最後に

普段、何気なく見ていた脆弱性の指標にどのような意味があるのかなんとなく理解いただけましたでしょうか。これらの内容を踏まえて、改めて脆弱性の情報を見てみると、少し違った視点で情報を読み解けるようになるのではないでしょうか。

参考

こちらに記載した内容は概要の概要となっているため、詳細を知りたい場合には以下のIPAのページなどを読むと良いでしょう。

• CVE

• CWE

• CVSS