dehio3’s diary

仕事、生活、趣味のメモ

脆弱性の番号って何?

最近「Apache Struts2」の脆弱性の問題がよくニュースで流れる。

itpro.nikkeibp.co.jp

そのなかで出てくる以下の数字

脆弱性(S2-045、CVE-2017-5638)

これって何を表してるのかよくわかってなかった。

なので今回はこの数字が何の情報なのかを調べてみた。

CVE-2017-5638

  • CVEとは、Common Vulnerabilities and Exposures(共通脆弱性識別子)の略称
  • 米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベース
  • 識別番号 「CVE-ID」(CVE-登録時の西暦-通し番号の形式)
  • CVE識別番号管理サイト CVE - Common Vulnerabilities and Exposures (CVE)
  • CVE識別番号管理サイトでは、CVE-IDの情報としてNVDのリンクがある

NVD(National Vulnerability Database)

CVSS(Common Vulnerability Scoring System)

  • 情報システムの脆弱性に対するオープンで汎用的な評価手法
  • ベンダーに依存しない共通の評価方法を提供

(1) 基本評価基準 (Base Metrics)

情報システムに求められる3つのセキュリティ特性、「機密性( Confidentiality Impact )」、「完全性( Integrity Impact )」、「可用性( Availability Impact )」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値( Base Score )を算出

  • 脆弱性の固有の深刻度を表すために評価する基準
  • この基準による評価結果は固定 (時間の経過や利用環境の異なりによって変化しない)

(2) 現状評価基準 (Temporal Metrics)

脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出

  • 脆弱性への対応状況に応じ、時間が経過すると変化
  • ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準

(3) 環境評価基準 (Environmental Metrics)

製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出

  • この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化
  • 製品利用者が脆弱性への対応を決めるために評価する基準

CVSSのレベル

CVSS基本値により深刻度をレベル分けする

レベルIII (危険)7.0~10.0
  • リモートからシステムを完全に制御されるような脅威
  • 大部分の情報が漏えいするような脅威
  • 大部分の情報が改ざんされるような脅威
レベルII (警告)4.0~6.9
  • 一部の情報が漏えいするような脅威
  • 一部の情報が改ざんされるような脅威
  • サービス停止に繋がるような脅威
レベルI (注意)0.0~3.9
  • 攻撃するために複雑な条件を必要とする脅威
  • その他、レベルIIに該当するが再現性が低いもの

参考サイト

ASCII.jp:脆弱性情報のサイトでよく目にする「CVE」とは?

共通脆弱性評価システムCVSS概説:IPA 独立行政法人 情報処理推進機構

CVSSスコアの解説「セキュリティ診断結果の見方」 | 株式会社レオンテクノロジーはWebサイトを守るセキュリティ会社です