※本記事は診断結果の理解を深める~CVSSとは~(1)の続きとなります。
前回の記事はこちら。
前回の記事ではCVSSについて評価基準の紹介をいたしました。
今回はスコアの例を挙げ各項目について紹介していきます。
なお、2019年11月時点ではCVSSスコアはv1・v2・v3の3つのバージョンが存在しています。
CVSSスコアが作成された2005年時点ではv1が使用されていましたが、2007年に新たにv2が公開されそれ以降はv2が主流となっていきました。
また、2015年には新たにCVSSv3が公開され、現在ではv2からv3への移行が進んでいます。
v2からv3へのバージョンアップに伴い、評価項目の統合や新たな項目の追加・評価手法の変更等より現状に即した変更が行われており、今後もシステムを取り巻く環境の変化への対応が期待されます。
評価手法や評価基準の変更等によりv2とv3では同様の脆弱性についても評価が異なる場合があり、2つの基準からより適切な対応をとることが望まれます。
なお、本記事では現在も広く用いられているCVSSv2を扱っていきます。
はじめに、脆弱性そのものリスクについては以下の6つの項目で評価されています。
・攻撃元区分 (AV)
・攻撃条件の複雑さ(AC)
・攻撃前の認証要否(Au)
・機密性への影響(C)
・完全性への影響(I)
・可用性への影響(A)
CVSSスコアと共に、以下のような表記で記載されているものです。
(AV:-/AC:-/Au:-/C:-/I:-/A:-)
各項目について確認していくと、攻撃元区分(AV)は、攻撃の経路を評価の基準としています。
攻撃可能な経路の入口によりスコアが変化します。
攻撃条件の複雑さ(AC)は、システムに対する攻撃を行う上での前提条件の複雑さが基準となっています。
攻撃を行うための前提条件のハードルが低いほどスコアが高くなる傾向にあります。
攻撃前の認証要否(Au)は、対象のシステムの認証要求を基準とした評価です。
認証要求の数によりスコアが異なります。
機密性への影響(C)・完全性への影響(I)・可用性への影響(A)は、情報セキュリティの3要素である機密性・完全性・可用性への影響度を基準とした指標です。
それぞれの要素への影響の度合いが大きいほどスコアが上昇する傾向にあります。
このように脆弱性のリスクは、多角的な指標により評価がなされており、一部の要素が突出している場合は総合的なスコアを確認しただけでは判断できない可能性があります。
例えば、攻撃に成功した場合、機密性・完全性・可用性に大きな影響を及ぼすが、攻撃の前提条件の度合いにより評価が異なる、といったことが考えられます。
また、CVSSスコアの数値だけでなく、各評価基準の値を確認することで、その脆弱性の性質を読み取ることができます。
各脆弱性の性質を読み取ることは、対策を講じる上でも非常に有用な手段ですので、各評価基準についても気にかけてはいかがでしょうか。
この記事が脆弱性への理解を深めるきっかけとなれば幸いです。
参照:
共通脆弱性評価システムCVSS概説
https://www.ipa.go.jp/security/vuln/CVSS.html
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
