CVSS v4.0の概要

参考文献:FIRST Common Vulnerability Scoring System Version 4.0 https://www.first.org/cvss/v4-0/

CVSSバージョン3.1からの変更点を中心にCVSS4.0の概要と個々の目的などを説明します。

Table of Contents

CVSS 3.1の課題と批判

  • CVSSベーススコアがリスク分析の主要な指標として使用されている
    CVSSベーススコアがリスク分析の主要な指標として使われることが多いが、これだけではリスクの全体像を十分に評価できない。
  • リアルタイムの脅威と補足的な影響の詳細が十分に表現されていない
    CVSS 3.1はリアルタイムの脅威や補足的な影響(例えば、経済的な損失や reputational damageなど)を十分に反映していない。
  • ITシステムにのみ適用
    CVSS 3.1は主に情報技術(IT)システムに適用されており、健康、人間の安全、および産業制御システム(ICS)には適用しにくい。
  • 健康、人間の安全、産業制御システムが十分に表現されていない
    CVSS 3.1はこれらの分野の特有のリスクや影響を十分に評価できていない。
  • ベンダーが公表するスコアは高またはクリティカル(7.0以上)であることが多い
    ベンダーが公表するスコアは、しばしば高い(High)またはクリティカル(Critical)と評価されるが、これが実際のリスクを反映しているかは疑問。
  • 粒度が不十分
    実際には99未満の離散的なCVSSスコアしか存在しないため、細かいリスク評価が難しい。
  • 時間的メトリクスが最終的なCVSSスコアに効果的な影響を与えない
    時間的メトリクス(Temporal Metrics)は、脆弱性のスコアに十分な影響を与えないため、リスクの変動を正確に反映できない。
  • 数学が過度に複雑で直感に反している
    CVSS 3.1のスコア計算方法は複雑で、直感的に理解しにくい。
  • その複雑な計算式はどこから来たのか?
    計算式が複雑すぎて、多くのユーザーがその合理性に疑問を抱いている。

CVSS v4.0の新機能概要

  1. ベースメトリクスの粒度の向上
    • 攻撃要件(Attack Requirements, AT)の追加: ベースメトリクスに新たに攻撃要件が追加され、評価の精度が向上。
    • ユーザーインタラクションの粒度の向上: ユーザーインタラクションが「なし(None)」、「アクティブ(Active)」、「パッシブ(Passive)」の3つに細分化され、詳細な評価が可能に。
  2. 下流スコアリングの曖昧さの解消
    • スコープの拡張: 機密性(C)、完全性(I)、可用性(A)が、脆弱なシステムのC/I/Aと後続システムのC/I/Aに分割され、より明確な評価が可能に。
  3. 脅威メトリクスの簡素化とスコアリングインパクトの向上
    • 修復レベル、報告の信頼度、エクスプロイトコードの成熟度の簡素化: これらのメトリクスがエクスプロイト成熟度に統合され、評価が簡略化されるとともに、スコアリングのインパクトが向上。
  4. 脆弱性対応のための補足属性
    • 補足メトリクス: 自動化可能(Automatable): 脆弱性の自動化対応可能性を評価。
    • 補足メトリクス: 回復(Recovery): 攻撃後の回復力を評価。
    • 補足メトリクス: 価値密度(Value Density): 攻撃によって得られるリソースの価値を評価。
    • 補足メトリクス: 脆弱性対応の努力(Vulnerability Response Effort): 脆弱性に対応するための労力を評価。
    • 補足メトリクス: プロバイダーの緊急性(Provider Urgency): 脆弱性に対するプロバイダーの緊急対応度を評価。
  5. OT/ICS/IoTへの追加適用可能性
    • 環境メトリクスに安全性の指標値を追加: OT(運用技術)、ICS(産業制御システム)、およびIoT(モノのインターネット)に対応するために、安全性の指標値を環境メトリクスに追加。

命名法(Nomenclature)

CVSSはベーススコア(Base Score)だけではないことを強調するために、新しい命名法が採用されました。この命名法により、CVSSの評価に含まれるさまざまな要素を明確に示すことができます。

  • CVSS-B: CVSS Base Score(CVSSベーススコア)
    CVSSの基本的なスコアリングメトリクス。脆弱性の基本的な特性を評価します。
  • CVSS-BT: CVSS Base + Threat Score(CVSSベース + 脅威スコア)
    基本的なスコアに加えて、脅威に関するメトリクスも含まれます。これにより、脆弱性が実際に悪用される可能性に基づいた評価が可能です。
  • CVSS-BE: CVSS Base + Environmental Score(CVSSベース + 環境スコア)
    基本的なスコアに加えて、環境に関するメトリクスも含まれます。これにより、脆弱性が特定の環境でどのように影響を与えるかを評価できます。
  • CVSS-BTE: CVSS Base + Threat + Environmental Score(CVSSベース + 脅威 + 環境スコア)
    基本的なスコア、脅威に関するメトリクス、環境に関するメトリクスをすべて含む総合的な評価。これにより、最も包括的な脆弱性のリスク評価が可能です。

新しいベースメトリクス: 攻撃要件(Attack Requirements)

問題点: 現在の「低」(low)および「高」(high)の攻撃複雑度(AC)値は、「高」複雑度の定義に圧縮されている条件間の重要な違いを反映していません。例えば、ASLR(アドレス空間配置ランダム化)や暗号などのセキュリティ緩和技術を回避することは、競合状態に勝つために攻撃を繰り返すよりも客観的に高い攻撃複雑度を必要とします。しかし、現在ではどちらの条件も最終的な深刻度スコアに対して同じ「ペナルティ」を与える結果となります。

提案: この問題に対処するために、現在の攻撃複雑度(AC)の定義を2つのメトリクスに分割することを提案します。これらのメトリクスはそれぞれ次のように伝達します。

  • 攻撃複雑度(Attack Complexity, AC): 防御技術やセキュリティ強化技術を回避または迂回するために必要な攻撃の技術的複雑さを反映します。(防御対策)
  • 攻撃要件(Attack Requirements, AT): 攻撃を可能にするための脆弱なコンポーネントの前提条件を反映します。

目的

脆弱性評価の精度を向上させることを目指しています。これにより、セキュリティ対策の回避や防御対策の迂回に必要な技術的な複雑さと、攻撃が成功するための脆弱なコンポーネントの条件を明確に区別することができます。

更新されたベースメトリクス: ユーザーインタラクション

この提案の意図は、脆弱なコンポーネントとユーザーの相互作用を考慮する際に、追加の粒度を提供することです。以下に詳細を示します。

  • なし(None, N): 脆弱なシステムは、攻撃者以外の人間ユーザーの関与なしに悪用される可能性があります。
  • パッシブ(Passive, P): この脆弱性を成功裏に悪用するには、標的となるユーザーが脆弱なコンポーネントと攻撃者のペイロードとの間で限定的な相互作用を行う必要があります。これらの相互作用は不随意的なものであり、ユーザーが脆弱なコンポーネントに組み込まれた防御を積極的に破壊する必要はありません。
  • アクティブ(Active, A): この脆弱性を成功裏に悪用するには、標的となるユーザーが脆弱なコンポーネントと攻撃者のペイロードとの間で特定の意識的な相互作用を行う必要があります。または、ユーザーの相互作用が脆弱性の悪用につながる保護メカニズムを積極的に破壊する必要があります。

目的

ベースメトリクス「ユーザーインタラクション」は、ユーザーと脆弱なコンポーネントとの相互作用の違いを明確にするために設計されています。これにより、セキュリティ評価の精度が向上し、脆弱性のリスク評価がより正確に行われるようになります。

廃止されたベースメトリクス: スコープ(Scope)

スコープは、おそらくCVSSの中で最も理解されにくく、最も好まれなかったメトリクスの一つです。

  • スコアリングの不一致を引き起こした
    製品提供者間でスコアリングに一貫性がなくなりました。
  • 脆弱なシステムと影響を受けたシステムの影響を「ロス圧縮」していた
    スコープは、脆弱なシステムと影響を受けたシステムの影響を適切に反映せず、情報が失われる圧縮を意味していました。

解決策

影響メトリクスが2つのセットに拡張されました。

  1. 脆弱なシステムの機密性(VC)、完全性(VI)、可用性(VA)
    脆弱性が存在するシステム自体の機密性、完全性、可用性に関する影響を評価します。
  2. 後続システムの機密性(SC)、完全性(SI)、可用性(SA)
    脆弱なシステムが他のシステムに与える影響、つまり、後続システムの機密性、完全性、可用性に関する影響を評価します。
  • “Modified” 環境メトリクスがそれに応じて更新されました
    新しいスコープの定義に基づいて、環境メトリクスも対応するように更新されました。

時間的メトリクスから脅威メトリクスへのグループ変更

  • 廃止されたメトリクス: 修復レベル(Remediation Level, 通常はO)と報告の信頼度(Report Confidence, 通常はC)が廃止されました。
  • 名称変更: エクスプロイトコード成熟度(Exploit Code Maturity)がエクスプロイト成熟度(Exploit Maturity)に名称変更されました。
  • 脅威メトリクス値の影響の強化: 脅威インテリジェンスを使用して、CVSSベーススコア(CVSS-BTEスコア)を調整します。これにより、CVSSベーススコアが高すぎるという懸念に対処し、合理的な最悪のケースを考慮したスコアを提供します。

目的

この変更は、CVSSベーススコアが過大評価されることを防ぐために行われました。脅威インテリジェンスを活用することで、現実的な最悪のケースに基づいたスコアリングが可能となり、より正確なリスク評価ができるようになります。

新しいメトリクスグループ: 補足メトリクスグループ

補足メトリクス: 補足メトリクスは、脆弱性の追加的な外部属性を定義し、測定するための新しいメトリクスを提供します。

  • 情報消費者: 情報を利用する側(情報消費者)は、これらの補足メトリクスの値を使用して追加の行動を取ることができます。これにより、ローカルの重要性に基づいてメトリクスとその値に意味を持たせることができます。
  • 数値的影響: 補足メトリクスは最終的に計算されるCVSSスコア(例:CVSS-BTE)に数値的な影響を与えません。組織は、各メトリクスまたはメトリクスのセット/組み合わせの重要度や効果的な影響度を割り当てることができます。これにより、最終的なリスク分析に対して多かれ少なかれ、または全く影響を与えないようにすることができます。
  • メトリクスと値の役割: メトリクスとその値は、単に脆弱性の追加的な外部特性を伝えるものです。
  • オプション: 情報提供者が提供するすべての補足メトリクスは任意です。

目的

脆弱性の評価に対してより柔軟で包括的なアプローチを提供します。これにより、組織は自分たちのニーズや状況に応じて、特定のメトリクスの重要性や影響を調整し、リスク分析を行うことができます。

OTへの新たな焦点: 安全性メトリクスと値

背景: 今日、多くの脆弱性は、従来の論理的影響(C/I/Aの三要素)以外の影響をもたらします。ますます一般的になっているのは、脆弱なシステムや影響を受けたシステムで論理的影響が認識されるかどうかに関わらず、脆弱性の悪用によって人間に具体的な被害が発生する可能性があるという懸念です。

影響範囲: 特にIoT(モノのインターネット)、ICS(産業制御システム)、およびヘルスケアの各セクターは、このような影響をCVSS仕様の一部として特定できることに大きな関心を寄せています。これにより、これらのセクターでの問題の優先順位付けがしやすくなり、成長する懸念に沿った対応が可能となります。

目的

CVSS v4.0では、安全性メトリクスと値を導入することで、従来のC/I/Aの枠を超えた脆弱性の影響を評価します。これにより、特にIoT、ICS、ヘルスケアの分野において、人間に対する具体的な被害を考慮したリスク評価が可能になります。この新しい焦点により、これらの分野での脆弱性対応がより効果的かつ適切に行われることが期待されます。

OT: 消費者提供の環境安全

背景: システムが直接的に安全性に関連する用途や目的に適合していない場合でも、どのように、あるいはどこに配備されるかによって安全性に影響を及ぼす可能性があります。このようなシステムに脆弱性が存在する場合、その悪用が安全性に与える影響を環境メトリクスグループで表現することができます。

安全性メトリクスの値: 安全性メトリクスの値は、脆弱性が悪用された結果、予測可能な形で負傷する可能性のある人間の行動者や参加者に対する影響を測定します。他の影響メトリクスの値とは異なり、安全性は後続システムの影響セットにのみ関連付けることができ、可用性および完全性のメトリクスのN(なし)、L(低)、H(高)影響値に加えて考慮する必要があります。

改訂された後続システムの完全性: 安全性(MSI)

  • 内容: 脆弱性の成功した悪用により、脆弱なシステムの完全性が損なわれる場合(例:薬剤注入ポンプの投与量が変更される)、それが人間の健康と安全に影響(負傷)を及ぼすことを示します。
  • : 薬剤注入ポンプの設定が変更され、患者に対して過剰または不足の投与が行われることで、健康被害や負傷が発生する。

改訂された後続システムの可用性: 安全性(MSA)

  • 内容: 脆弱性の成功した悪用により、脆弱なシステムの可用性が損なわれる場合(例:車のブレーキシステムが使用できなくなる)、それが人間の健康と安全に影響(負傷)を及ぼすことを示します。
  • : 車のブレーキシステムが脆弱性の悪用によって機能しなくなり、事故が発生し、人間が負傷する可能性がある。

目的

脆弱性が悪用された場合の後続システムに対する安全性の影響を評価するために導入されています。具体的には、脆弱性の悪用が人間の健康と安全に及ぼす直接的な影響を測定します。次にシステムの配置場所や使用方法によって引き起こされる可能性のある安全性への影響を評価することができます。これにより、脆弱性の悪用が人間に及ぼす具体的な被害を予測し、それに基づいて適切な対策を講じることが可能になります。例えば脆弱性管理において、人的被害のリスクを考慮した評価と対策を行うことができます。

OT: プロバイダー提供の補足安全性

背景: システムが安全性に関連する用途や目的に適合している場合、そのシステム内の脆弱性の悪用が安全性に影響を与える可能性があります。この影響は、補足メトリクスグループで表現することができます。

安全性補足メトリクスの値

  • Present (P)
    脆弱性の結果がIEC 61508の影響カテゴリー「marginal(軽微)」、「critical(重大)」、「catastrophic(壊滅的)」の定義に該当する場合。
  • Negligible (N)
    脆弱性の結果がIEC 61508の影響カテゴリー「negligible(無視できる)」の定義に該当する場合。
  • Not Defined (X)
    この脆弱性に対して、このメトリクスの値が定義されていない場合。

注記:プロバイダーは補足メトリクスを提供する義務はありません。これらは必要に応じて提供され、プロバイダーがケースバイケースで伝えることを選択した内容に基づいています。

目的

システムが安全性に関連する場合において、その脆弱性の影響をより詳細に評価できます。これにより、脆弱性の悪用が人間の健康と安全に与える具体的な影響を考慮し、適切な対策を講じることができます。

補足メトリクス: 自動化可能(Automatable)

概要: 「自動化可能」メトリクスは、「攻撃者がこの脆弱性の悪用を複数のターゲットに対して自動化できるかどうか」という質問に対する答えをキャプチャします。この評価は、キルチェーンのステップ1-4に基づいています:偵察(reconnaissance)、武器化(weaponization)、配信(delivery)、および悪用(exploitation)。

  • No(いいえ): 攻撃者は、この脆弱性に対するキルチェーンのすべてのステップ(偵察、武器化、配信、悪用)を確実に自動化することはできません。
    1. 脆弱なコンポーネントが検索不可能または列挙不可能である。
    2. 武器化には、各ターゲットごとに人間の指示が必要である。
    3. 配信には、ネットワークセキュリティ設定がブロックするチャネルを使用する。
    4. デフォルトで有効になっているエクスプロイト防止技術により、悪用が信頼できない。

  • Yes(はい): 攻撃者は、キルチェーンのすべてのステップ(偵察、武器化、配信、悪用)を確実に自動化できます。
    一つの目安として、脆弱性が認証されていないリモートコード実行やコマンドインジェクションを許可する場合、予想される回答は「はい」です。アナリストは、ヒューリスティックにのみ依存せず、すべてのステップが自動化可能であることを示す論拠や実証を提供するべきです。

目的

脆弱性の悪用が自動化可能かどうかを評価し、その結果としてのリスクをより詳細に理解することです。自動化可能な攻撃は、手動の攻撃よりも大規模かつ迅速に展開される可能性が高いため、リスク評価において重要な要素となります。

補足メトリクス: 回復(Recovery)

概要: このメトリクスは、攻撃が行われた後に、コンポーネント/システムがサービスを回復するための回復力を、パフォーマンスと可用性の観点から説明します。

  • Automatic(A): コンポーネント/システムは、攻撃後に自動的にサービスを回復します。
  • User(U): コンポーネント/システムは、攻撃後にサービスを回復するためにユーザーの手動介入が必要です。
  • Irrecoverable(I): コンポーネント/システムは、攻撃後にユーザーによって回復することができません。

目的

システムの回復力を評価し、攻撃後の対応策や復旧計画の策定に役立てることです。回復力のレベルは、システムの信頼性や継続運用の観点から重要な指標となります。

補足メトリクス: 価値密度(Value Density)

概要: 価値密度は、攻撃者が1回の悪用イベントで支配権を獲得するリソースの量を説明します。このメトリクスには、以下の2つの値があります。

  • Diffuse(拡散): 脆弱なコンポーネントを含むシステムは、限られたリソースしか持っていません。つまり、攻撃者が1回の悪用イベントで支配権を得るリソースは比較的小さいです。
  • Concentrated(集中): 脆弱なコンポーネントを含むシステムは、豊富なリソースを持っています。経験則として、このようなシステムは、一般ユーザーではなく「システムオペレーター」の直接的な責任範囲にあることが多いです。

目的

脆弱性の悪用によって得られるリソースの重要性と量を評価することです。これにより、攻撃者が1回の攻撃でどれだけの利益を得られるかを理解し、リスクの大きさを評価するのに役立ちます。価値密度が高い(Concentrated)システムは、攻撃の影響が大きいため、特に厳重なセキュリティ対策が求められます。

補足メトリクス: 脆弱性対応の努力(Vulnerability Response Effort)

概要: このメトリクスは、インフラに展開された製品やサービスの脆弱性に対する初期対応の難易度に関する補足情報を提供します。消費者は、この追加情報を考慮して、緩和策の適用や修正のスケジューリングを行うことができます。

  • Low (L)(低): 脆弱性に対応するために必要な努力は低い、もしくは些細なものである。
  • Moderate (M)(中): 脆弱性に対応するために必要なアクションは、消費者にとってある程度の努力を要し、実施することで最小限のサービス影響が生じる可能性がある。
  • High (H)(高): 脆弱性に対応するために必要なアクションは重要であり、もしくは困難であり、拡張されたスケジュールされたサービス影響を引き起こす可能性がある。または、現場での脆弱性への対応がリモートでは不可能で、唯一の解決策は物理的な交換を伴う。

目的

脆弱性対応にかかる労力を評価し、消費者がリソースやスケジュールの計画を立てる際に役立てることです。これにより、脆弱性対応のコストと影響をより正確に見積もり、適切な対策を講じることが可能になります。

補足メトリクス: プロバイダーの緊急性(Provider Urgency)

概要: プロバイダーが提供する追加の評価を標準化された方法で組み込むために、オプションの「パススルー」補足メトリクスとして「プロバイダーの緊急性(Provider Urgency)」が定義されました。

  • プロバイダーの供給チェーン
    製品供給チェーンの任意のプロバイダーが補足的な緊急性の評価を提供することができます。具体的なプロバイダーの例として以下が挙げられます。
  • 最終製品プロバイダー(PPP)は、緊急性を直接評価するのに最適な立場にあります。
    ライブラリのメンテナンス担当(Library Maintainer)→OS/ディストリビューションのメンテナンス担当(OS/Distro Maintainer)→プロバイダー1(Provider 1)…プロバイダーn(PPP)→消費者(Consumer)

目的

製品供給チェーン全体で一貫した緊急性評価を提供し、消費者が脆弱性対応の優先順位を決定する際に役立てることです。特に、最終製品プロバイダー(PPP)は、製品全体の状況を把握しているため、最も正確な緊急性評価を提供できるとされています。

プロバイダーの緊急性メトリクスの値

  • Red(赤):プロバイダーは、この脆弱性の影響を最も高い緊急性があると評価しています。
  • Amber(アンバー/橙):プロバイダーは、この脆弱性の影響を中程度の緊急性があると評価しています。
  • Green(緑):プロバイダーは、この脆弱性の影響を低い緊急性があると評価しています。
  • Clear(クリアー):プロバイダーは、この脆弱性の影響を低い、または緊急性がないと評価しています。(情報提供)

目的

プロバイダーが脆弱性の影響をどの程度緊急であるかを評価するために使用されます。各値は、緊急性のレベルを示しており、消費者が脆弱性対応の優先順位を決定するのに役立ちます。特に、緊急性の高い脆弱性(Red)は即時の対応が必要であることを示し、緊急性が低い脆弱性(GreenまたはInformational)は後回しにすることが可能であることを示しています。

新しい数学的アプローチ

概要: CVSS v4.0では、新しい数学的アプローチを使用して、脆弱性のスコアリングをより正確かつ一貫性のあるものにするために以下の手法を導入しています。

  1. メトリクスグループの使用
    約1500万のCVSSベクトルを271の同等集合(equivalence sets)にまとめます。
  2. 専門家の意見の収集
    各同等集合を代表するベクトルを比較するために、専門家の意見を収集します。
  3. ベクトルの順序計算
    ベクトルを、最も軽微なものから最も重大なものまで順序付けします。
  4. 定性的な重大度評価の境界設定
    CVSS v3.xの定性的な重大度境界と互換性のある定性的な重大度評価の境界を決定します。
  5. ベクトルグループの圧縮
    各定性的な重大度ビン内のベクトルグループを、そのビンで利用可能なスコアの数に圧縮します(例えば、クリティカルは9.0から10.0、高は7.0から8.9など)。
  6. 補間の活用
    ベクトルグループ内のスコアを調整するために補間を利用し、どのメトリクス値の変更でもスコアが変化するようにします。

目的

CVSSスコアリングの精度と一貫性を高めることです。これにより、脆弱性の評価がより信頼性の高いものとなり、セキュリティプロフェッショナルがリスクをより正確に評価し、適切な対応を行うことができるようになります。

技術的重大度 vs. リスク

CVSSベーススコア(CVSS-B): 技術的重大度

  • 概要
    • CVSSベーススコア(CVSS-B)は「技術的重大度」を表します。
    • このスコアは、脆弱性そのものの属性のみを考慮します。
  • 重要ポイント
    • CVSS-Bは脆弱性の修正優先度を決定するための唯一の指標として使用することは推奨されません。

リスク(Risk)

  • 概念
    リスクはしばしば宗教的な議論の対象となりますが、実際のリスク評価には複数の要素が関与します。
  • CVSS-BTEスコアの包括性
    CVSS-BTEスコアは、以下の属性を考慮して算出されます。
    • ベーススコア(Base Score)
    • 脆弱性に関連する脅威(Threat associated with the vulnerability)
    • 環境制御/重要度(Environmental controls/Criticality)
  • 利点
    適切に使用されれば、CVSS-BTEスコアは多くの高く評価されているサードパーティのセキュリティ組織が独自の「リスク」評価を生成する際に考慮するよりも包括的な属性を表します。

目的

CVSS-Bは技術的な重大度を示すものですが、実際のリスク評価には脆弱性に関連する脅威や環境要素も含まれるべきであり、CVSS-BTEスコアはこれらを総合的に評価するための優れた指標となります。

CVSSとEPSSとSSVC

脆弱性評価とパッチ優先順位の補完的な側面を扱うために、最近新たなスコアリングシステムが導入され、採用されています。これらのシステムは脆弱性スコアリングのツールボックスに歓迎すべき追加であり、革新的なエクスプロイト予測と意思決定支援を提供します。

EPSS: Exploit Prediction Scoring System

  • 概要: EPSSは、ソフトウェア脆弱性が30日以内に悪用される可能性(確率)を推定するためのデータ駆動の取り組みです。
  • 目的: 悪用される確率を予測することで、脆弱性の優先度をより正確に評価し、適切な対策を講じるための情報を提供します。
  • 詳細: 詳細情報はEPSSのウェブサイトをご覧ください。

SSVC: Stakeholder-Specific Vulnerability Categorization

  • 概要: SSVCは、脆弱性管理におけるアクションの優先順位を決定するための意思決定ツリーシステムです。
  • 目的: 脆弱性に対する対応策の優先順位を決定するプロセスを標準化し、ステークホルダーごとに適切なアクションを取ることを支援します。
  • 詳細: 詳細情報はSSVCのウェブサイトをご覧ください。

まとめ

これらのスコアリングシステムは、脆弱性評価の補完的なツールとして機能し、脆弱性管理の精度と効果を高めます。EPSSは脆弱性の悪用確率を予測し、SSVCは具体的なアクションの優先順位を決定するためのフレームワークを提供します。これにより、セキュリティプロフェッショナルは、より効果的かつ迅速に脆弱性対応を行うことができます。

CVSSを活用するためのベストプラクティス

1. データベースとデータフィードを使用して脆弱性データの充実を自動化する

  • NVD(National Vulnerability Database): CVSSのベースメトリック値(Base Metric Values)を提供するデータベース。
  • 資産管理データベース: 環境メトリック値(Environmental Metric Values)を提供するデータベース。
  • 脅威インテリジェンスデータ: 脅威メトリック値(Threat Metric Values)を提供するデータ。

2. 重要な属性に基づいて脆弱性データを表示する方法を見つける

  • 解決を担当するサポートチーム: 脆弱性の修正を担当するチームに基づいてデータを表示。
  • 重要なアプリケーション: 重要なアプリケーションに関連する脆弱性データを特定。
  • 内部対外向けの区別: 内部システムと外部に面したシステムの脆弱性を区別して表示。
  • 事業部門: 各事業部門に関連する脆弱性データを特定。
  • 規制要件: 規制要件に基づいて脆弱性データを分類して表示。

目的

脆弱性データをより効果的に管理し、重要な情報を見逃さないようにするために設計されています。自動化されたデータの充実と、重要な属性に基づいたデータの表示により、セキュリティプロフェッショナルは脆弱性管理をより効率的に行い、迅速かつ効果的な対応を行うことができます。

ドキュメント、仕様、およびトレーニングへのリンク

これらのリンクは、CVSS(Common Vulnerability Scoring System)に関連するさまざまなリソースへのアクセスを提供します。

1. CVSS SIG: CVSS SIG CVSS Special Interest Group(SIG)の公式ページです。CVSSに関する最新情報やリソースが提供されています。

2. CVSSオンライントレーニングコース: CVSS Online Training Course CVSSについて学ぶためのオンライントレーニングコースです。CVSSの基礎から応用までをカバーしています。

3. CVSS v4.0パブリックプレビュー: CVSS v4.0 Public Preview CVSS v4.0のパブリックプレビューです。最新バージョンの概要とその機能を確認できます。

4. CVSS v4.0仕様書: CVSS v4.0 Specification CVSS v4.0の詳細な仕様書です。技術的な詳細や実装ガイドラインが記載されています。

5. CVSS v4.0ユーザーガイド: CVSS v4.0 User Guide CVSS v4.0のユーザーガイドです。実際の使用方法やベストプラクティスが説明されています。

6. CVSS v4.0計算機: CVSS v4.0 Calculator CVSS v4.0の計算機ツールです。脆弱性のスコアを計算するためのオンラインツールです。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ