CVSS v4.0って知ってる?~聞いたことあるけどなんだかよく知らない単語たち~
お久しぶりです、セキュリティエンジニアの青柳です。
実はわたし、育休から復帰して半年強経つのですが、セキュリティワードって日々増えるな…と強く感じる今日この頃。ワードとして知っていたけど、いつの間にかバージョンが上がっている存在がいました…それがCVSSです。
今回は“聞いたことあるけどなんだかよく知らないシリーズ”として、CVSS v4.0についてざっくり学んでいきたいと思います。
脆弱性の深刻度を判断するもの
さて、いきなりですが、皆さんは脆弱性*の深刻度の指標をご存じでしょうか。実は、今回のテーマであるCVSSというものが脆弱性の深刻度の指標となるものの1つなんです。
*脆弱性=OSやソフトウェアなどの製品において、プログラムの不具合や設計ミスなどにより発生したサイバーセキュリティ上の欠陥。
CVSSとは
CVSSはCommon Vulnerability Scoring Systemの略です。日本語だと、共通脆弱性評価システムといわれています。ITシステムに存在する脆弱性の深刻さを数値(0.0~10.0)で評価する国際標準のスコアリングシステムになります。
CVSSの始まり
かつて脆弱性の深刻度合いは基準となる数値がなく、深刻さの評価は各ベンダーに委ねられていました。そこで、ベンダーに依存せず脆弱性の深刻度合いを判断するために開発されたのがCVSSになります。
2004年10月にNIAC*のプロジェクトによって原案が作成され、2005年にCVSS v1.0が誕生しました。現在はCVSS v4.0が最新バージョンとして知られています。
CVSSのプロジェクトはNIACが始まりですが、管理自体はFIRST*が行っています。
*NIAC=:National Infrastructure Advisory Councilの略。米国家インフラストラクチャー諮問委員会。米国における物理的なインフラとサイバーインフラのセキュリティについて米大統領へ助言を行う組織。
*FIRST=The Forum of Incident Response and Security Teamsの略。世界各国の政府、法執行機関、学術機関、企業などさまざまな団体のCSIRT*が所属し、セキュリティ問題へ取り組む非営利団体。
*CSIRT=Computer Security Incident Response Teamの略。組織のセキュリティインシデント対応チーム。
CVSS v4.0とは
さて本題のCVSS v4.0について学んでまいりましょうか。
冒頭でも話しましたが、CVSSは脆弱性の深刻度を判断するものです。その深刻度は、分類された評価基準のもと、スコアが決まっていきます。
CVSS v3.1の評価基準
CVSS v3.1までは評価基準が以下の3つでした。
評価基準ごとに評価をする項目があり、評価基準ごとにスコアは変わってきます。それでは、評価基準の概要をざっくり説明しますね。
・基本評価基準(Base Metrics)
情報セキュリティ三大要素である「機密性」「完全性」「可用性」に対する影響度を評価します。脆弱性そのものの評価をします。
・現状評価基準(Temporal Metrics)
現時点の脆弱性の深刻度を評価します。評価時点における脆弱性を取り巻く状況(攻撃の容易性など)によって評価の結果が変化します。
・環境評価基準(Environmental Metrics)
脆弱性そのものの特性とユーザーの利用環境を含めて評価をします。評価の結果は利用環境によって変化します。
これらの評価基準をもとにそれぞれ計算を行い、0.0~10.0のスコアの中で脆弱性の深刻度を測ります。
CVSS v4.0の評価基準
CVSS v4.0へアップデート変更されると評価基準が3つから4つになりました。
CVSS v3.1からCVSS v4.0へのアップデートでは、評価基準において大きく5つの変更ポイントがありました。
(1)現状評価基準の改名
(2)新たな評価基準「補足評価基準」の追加
(3)評価基準の表記名の変更
(4)基本評価基準の項目の変更
(5)IoT */ICS */医療機器領域に対応するための評価「Safety」の追加
*IoT=Internet of Thingsの略。身の回りのモノでインターネットへ接続する技術。
*ICS=Industrial Control Systemの略。製造業や生産拠点で用いられる産業用設備をコントロールするシステム。
同じような名前がたくさんあって、まいった(‘◇’)って方もいると思います。混乱を招かないためにも(1)~(5)のそれぞれについて、1つ1つざっくりと説明していきますね。
(1)現状評価基準の改名
現状評価基準は「脅威評価基準」に名前が変更されました。
CVSS v4.0においては、評価基準の項目が“攻撃される可能性のみ”になりました。脅威のみにフォーカスが当てられたため名前も変更された、というところです。
(2)新たな評価基準「補足評価基準」の追加
基本評価基準、現状評価基準、環境評価基準に加えて、「補足評価基準」が加わりました。
「補足評価基準」とは、補足的に脆弱性の特性を追記するための基準です。この基準においては、CVSSのスコアは算出されません。
(3)評価基準の表記名の変更
脆弱性の深刻度を判断する際、脅威評価基準や環境評価基準を、基本評価基準に合わせて算出すると、より効果的な深刻度を判断できるんです。しかしながら現状、基本評価基準と他を組み合わせた基準を明示できないため、基本評価基準のスコアのみが判断材料とされることが課題とされていました。
その課題を解消すべく、明示的にそれぞれの評価基準へ表記名を記すようになりました。
(4)基本評価基準の項目の変更
基本評価基準の項目の一部が改善されました。
こちらは細かくいろいろ変わっているので、評価項目が変わったんだな~くらいにとらえてもらえればと思います。
(5)IoT/ICS/医療機器領域に対応するための評価「Safety」の追加
CVSS v3.1まではITシステムへの影響のみが考慮された評価基準でしたが、昨今のDX化によってITシステム以外の領域も評価の範囲に含まれるようになりました。
環境評価基準の項目を評価するにあたり、「高」「低」「無視」に加えて、「安全」が選択の対象として追加されました。
ちなみに、この評価項目が追加されたことによって、深刻度が上がった脆弱性もあるそうです。
CVSSのスコア
CVSSは、脆弱性の深刻度を表すためにスコアで扱われます。
スコアは評価基準に沿って計算した結果、以下のように分類できます。スコアが高いほど脆弱性は深刻なものであり、攻撃されるリスクが高いと判断できます。
ちなみにですが、スコアの判定に関してCVSS v4.0とCVSS v3.1において違いはありません。
※実はスコアを出すための計算方法があるのですが、今回は用語理解をテーマにしているので割愛させていただきます。
まとめ
もし、みなさんがCVSS v4.0ってCVSS v3.1と何が違うの?と聞かれたときは、ぜひこう答えてください。
「CVSSの最新バージョンで、前バージョンから評価基準がアップデートされてるんです。前バージョンとの大きな違いといえば、補足的な評価基準が増えたのと、評価項目にIoTやICSが考慮された内容が追加されたところなんですよ。ちなみに今回、評価基準が変更されたことによって、中には深刻度が上がった脆弱性もあったりするんですよ」と。
“聞いたことあるけどなんだかよく知らないシリーズ”は不定期にて更新をしてまいります。
みなさんの頭の中にある、正体不明のワードたちをクリアにできるよう、日々アンテナを張って謎ワードをキャッチしてまいります!またお会いしましょう。