サイバーセキュリティにおける CVE および CVSS スコアの説明

CVE (Common Vulnerabilities and Exposures) は、サイバーセキュリティの専門家や組織が既知のセキュリティ上の欠陥を特定するのに役立つ、一般公開されている情報リストです。

これは、米国政府の資金提供を受けている非営利団体 MITRE Corporation によって 1999 年に導入されました。はい、これは MITRE ATT&CK の背後にある企業と同じ企業です。MITRE ATT&CK は、潜在的にサイバー キル チェーンよりも優れたセキュリティ モデルです。

これは、世界中のサイバーセキュリティ業界全体の標準となっています。したがって、サイバーセキュリティ戦略を最新の状態に保ちたい人、またはシステムを保護したい人は誰でも CVE を参照します。

CVEとは何ですか?

CVE は、 脆弱性とその潜在的なセキュリティ重大度に関する情報が含まれる、公的にアクセス可能なカタログです。

脆弱性に関する十分な技術情報 (影響、修正など) が不足していることを考慮すると、これは脆弱性データベースではありません。 CVE には、日付、参照番号、脆弱性の簡単な説明などの情報が含まれます。

サイバーセキュリティ業界の誰もが、戦略を最新の状態に保つために CVE を参照しています。 GitHub ページ で管理されている CVE リストを参照して、特定の CVE に関する情報を検索、検索、またはダウンロードできます。

CVE 内のすべてを見つけることは不可能であることに注意することが重要です。引き続き調査を行い、ニュースを常に把握し、あらゆる脆弱性に注意を払う必要があります。そうは言っても、CVE は巨大で役立つカタログです。

なぜ CVE が必要なのでしょうか?

CVE がすべてではありませんが、CVE のないサイバーセキュリティを想像できますか?

CVE は情報にアクセスできるようにし、脆弱性を共通名で分類します。サイバーセキュリティの専門家は、ソフトウェアまたはシステムに関連付けられた CVE をチェックすることで、修正の検索をすぐに開始したり、脅威から防御したりできます。

言い換えれば、ソフトウェアまたはシステムの問題について正確な洞察が得られることを考慮すると、これはサイバーセキュリティ リスク評価プロセスの重要な部分です。

CVEの目標

CVE の主な目的は、脆弱性とその危険性に関する知識を協力して共有し、より適切に身を守ることです。

そのうちのいくつかは次のとおりです。

• 誰もが既知の脆弱性を簡単に理解/認識できるようにします。
• セキュリティ上の欠陥を年ごとにフィルタリングします。
• 知識の共有を促進して、サイバーセキュリティをより適切に処理します。
• 脆弱性データベースとセキュリティ ツールの比較に関する洞察をさらに追加します。

もちろん、CVE を使用すると、製品や組織の問題をより適切に防御または解決して PII を保護することができ、また、何か問題が発生した場合にデジタル フォレンジックのための洞察を追加することもできます。

CVE の作成方法は次のとおりです

CVE は、CVE プログラムのパートナーによってのみ割り当て (または生成) できます。

パートナーは CVE Number Authority (CNA) であることも、CVE プログラムで指定された役割を持つこともできます。 CNA は、脆弱性が特定の基準を満たしているとみなして、その脆弱性に ID を割り当てます。これについては、読みながら説明します。

これらの CVE プログラム パートナーは、 CVE レコードを割り当てて公開できます。例としては、 Microsoft 、 Red Hat 、その他の 研究組織 や バグ報奨金プログラムなどが あります。

脆弱性が見つかったら、組織またはベンダーは、CVE として追加されるとみなされるために必要な情報を提供する必要があります。データには次のものが含まれます。

• 脆弱性の種類 (SQL インジェクション、バッファ オーバーフローなど)
• ベンダーまたは製品チームが脆弱性を確認/認識している場合
• 攻撃タイプ（物理攻撃、遠隔攻撃など）
• 脆弱性による潜在的な影響
• 脆弱性の影響を受けるコンポーネントの詳細
• 脆弱性の詳細
• 脆弱性の発見者（個人/組織）の功績
• 脆弱性への公開参照

報告する場合、個人または組織はすべての情報を提供する必要があります。

さらに、CNA ではなく脆弱性を報告したい場合、ベンダー/製品の会社が CNA でない場合は、CVE に直接報告することができます。

ベンダーが CVE プログラム パートナーのリストにある CNA であると仮定します。 CVE ではなく、脆弱性を直接報告する必要があります。

ただし、その前に、脆弱性を誰かに報告する前に、その脆弱性が最小要件を満たしていることを確認する必要があります。最低限のものには、 これまでに報告されていない 脆弱性が含まれており、 CNA の対象となる製品であってはなり ません (個人の立場で報告している場合)。

さらに、その脆弱性が Web 上で公開されているかどうかによって違いが生じます。そうでない場合、CVE が受け入れられたとしても、CVE に関する公開情報を含む URL を提供するまで、CVE は「 RESERVED 」として表示されます。

CVSSとは何ですか?

Common Vulnerability Scoring System (CVSS) を使用すると、CVE で報告されたセキュリティ上の欠陥の重大度 (または影響) を知ることができます。 CVSS は、CVE を担当する同じ組織によって管理されているわけではありません。

これは、米国に拠点を置く別の非営利団体である FIRST.org によって所有および管理されています。

CVSS にはメトリクスの計算方法に関する特定の仕様があり、脆弱性の複雑さに対応するために常に進化しています。これを書いているときに、誰もが参照している最新の仕様は CVSS 3.1 です。

0 ～ 10 のスコアの番号付けシステムは見た目のように単純ですが、3 つの指標グループがあります。

基本スコアは 、脆弱性の深刻度を表します。その後、脆弱性との外部相互作用により、 一時スコアは 時間とともに変化します。最後に、CVE の影響を受ける特定の組織への影響に固有の 環境スコア があります。

基本メトリックは 「 脆弱性 」コンポーネントとも呼ばれます。脆弱性がどのように悪用されるのか、またそれをより効果的にするものは何かを検討します。悪用の手段 (リモート/ローカル)、外部条件、特権レベル、ユーザーの操作、およびそれが与える影響などです。

一時的なメトリクスは、 脆弱性を悪用するコードが公開されているかどうか、または脆弱性にパッチが適用されていないかを考慮するため、条件と時間によって変化します。また、レポートに脆弱性の詳細が記載されているかどうかも考慮されます。

場合によっては、脆弱性の根本原因が不明であることがあります。このような場合、スコアは低くなり、CVE に関連付けられたすべての詳細が具体的であれば、スコアは高くなります。

最終的に、 環境指標は 影響を受けるベンダーまたは組織に固有のものになります。脆弱性の影響、影響を受ける資産、および可用性、機密性、完全性に対する影響の程度が考慮されます。

同じ要素を特定の組織のみを考慮しているため、「 修正された基本指標 」と呼ばれることもあります。

CVE の National Vulnerability Database (NVD) では次のようになります。

私たちは主に、すべてのデータベースの 基本スコア を確認します。他のスコアは脆弱性データベースで見つかる場合もあれば、見つからない場合もあります。

基本スコア グループの範囲は次のようになります。

• 0 → なし
• 0.1～3.9→ 低
• 4.0-6.9 → 中
• 7.0-8.9 → 高
• 9.0-10.0 → クリティカル

スコアが高いほど深刻です。

したがって、CVE に高い基本スコアが含まれている場合は、修正を見つけるか、それに対する防御を優先する必要があります。

スコアはどのように計算されますか?

脆弱性には、データの可用性と整合性、または脆弱性を悪用するために必要な権限に影響を与えるかどうかなど、いくつかの側面があります。

基本的な指標である CVSS スコアの要素には次のものが含まれます。

• 攻撃ベクトル (ローカル/物理、ネットワークなど)
• 攻撃の複雑さ
• 必要な特権
• 機密保持への影響
• 完全性への影響
• ユーザーインタラクション
• 範囲
• 可用性への影響

この計算は、CVSS を担当する組織である FIRST.org によって指定された式に基づいています。

式を述べるほど単純ではありません。サブ式があり、スコアを計算するには 公式仕様 書を参照する必要があります。

ISS = 1 – [(1-機密性) x (1 – 完全性) x (1 – 可用性)]

ISS、これがインパクトサブスコアです。式内の残りのメトリクスには、次のような特定の定数値があります。

機密性/完全性/可用性 → 高 (0.56) |低 (0.22) |なし (0)

これが複雑に聞こえる場合は、 NVD 計算ツール を使用して、計算方法を気にせずにすべてのメトリック グループのスコアを生成することもできます。

上位 CVE リスト

報告された上位 (または人気のある) CVE が、必ずしも最高の CVSS スコアを持つものであるとは限りません。

場合によっては、CVE がソフトウェアの負荷やそれを使用する組織に影響を与える可能性があるため、より注意を払う必要があります。

たとえば、 CVE-2021-41617 は 、OpenSSH での権限昇格を可能にする脆弱性です。 2021年に報告されましたが、最近も更新されました。

Apache の Log4j 脆弱性 ( CVE-2021-44228 ) を忘れてはなりません。業界全体が懸念し、CISA などのセキュリティ機関がそれに関する 公開ガイダンス を発行するよう奨励しました。

脆弱性データベースを調べて、問題があると思われる上位の CVE をフィルタリングできます。ただし、上位の CVE をフィルタリングするための特定のランキングはありません。

CVE と CVSS: サイバーセキュリティの向上のためのコラボレーション

CVE と CVSS の目的は異なりますが、どちらもサイバーセキュリティ業界の防御強化に役立ちます。

CVE は、開発者やサイバーセキュリティの専門家が製品やシステムに関連する脆弱性を知るのに役立ちます。

一方、CVSS は、組織/ベンダーにとって CVE レポートがどれほど重要であるか、その優先順位を示すことで、情報をより有意義なものにします。

その例として、 National Vulnerability Database ( Vuldb) を確認してください。

全国脆弱性データベース

National Vulnerability Database (NVD) は、米国国立標準技術研究所 (NIST) が管理する米国政府支援のデータベースです。

この Web サイトにアクセスすると、サイバーセキュリティの世界で既知の脆弱性をすべて参照し、報告された最新の脆弱性を確認できます。 CVE、CVSS (最新仕様による)、報告時間、公開日など、脆弱性について必要な詳細をすべて取得します。

VulDB

VulDB は、最新情報への限定的なアクセスを無料で提供する脆弱性データベースです。

脆弱性についてより詳細な洞察を得るために、プレミアム サブスクリプションが提供されます。サポート、技術的な詳細、対応範囲、脅威インテリジェンスなどが必要なユーザーは、有料サブスクリプションを選択できます。

一方、 セキュリティ勧告 では、重要性を強調したり優先順位を反映したりするために、CVSS に従って CVE をリストする場合があります。

例えば：

• Ubuntu のセキュリティ通知 : 脆弱性と影響を受けるパッケージ、および関連する CVE について説明します。
• Android セキュリティ情報 : 影響を受ける製品と CVE がリストされています。

Microsoft のように、セキュリティ通知を受信して​​最新情報を入手するにはサインアップする必要がある場合があります。

本質的に、どちらにも制限はありません。ただし、 脆弱性の全体像を把握できるわけではありません 。脆弱性データベースを使用して、報告された CVE についてさらに調査して学習し、製品またはシステムを評価して、どのように修正または防御できるかを確認する必要があります。

忘れてはいけないのは、CVE と CVSS はエンドユーザーにとって役に立たない可能性があるということです。代わりに、サイバーセキュリティの基本に重点を置く必要があります。

よくある質問

まとめ

サイバーセキュリティ戦略には多くの情報が必要です。時には、それは圧倒的なことかもしれません。

ただし、参照する CVE および CVSS 標準を作成すると、物事がより簡単になります。

CVE と CVSS は考慮すべき重要な事項であり、より優れた脆弱性データベースへの道を切り開きました。さらに、これらにより、セキュリティ上の欠陥に関する情報にアクセスし、理解しやすくなります。サイバーセキュリティ ゲームに勝つには両方が必要です。

また、システムをセキュリティの脅威から保護し、データを安全に保つために、いくつかの最適な脆弱性管理ソフトウェアを検討することもできます。