<CVSSを分かりやすく>
IT業界、その中でも特にセキュリティ関連のお仕事をされている方は一度は聞いたことがあるであろう「CVSS」。
今回はこのCVSSについて、シンプルイズベストをもっとーに紹介致します。
まず最初に以下を覚えてください(^^)/
・CVSS=IT製品、ソフトウェア等の「情報システム」に存在するセキュリティ的な脆弱性のヤバさを、基本評価基準、現状評価基準、環境評価基準の3つの基準から評価したもの
ここは大事です。ポイントとして下記を覚えて頂ければと思います!
・CVSSは情報システムに存在する個別の脆弱性毎に評価(スコアリング)されること
→つまりは発見された脆弱性の深刻度を評価するものである!
・CVSSのスコアリングは3つの基準から構成されている
→後述しますが、基本、現状、環境という3本柱で最終的なCVSSスコアが決まります!
いかがでしょうか。知っている方は当たり前ですが、僕もお客様とお話などしていると誤った認識をお持ちのケースや、そもそも知らないよ!というケースも結構あたっりします。例えば、お客様から「サイバー攻撃に対するあるシステム全体の耐性をCVSSで評価したい」というようなご要望を頂戴したことがありました。
ただ、これは既述の通りCVSSでは正しく評価することはできません。
何故なら、CVSSはあくまで1つ1つの脆弱性毎にスコアリングされるものであり、加えて、その評価をみんな共通の軸・基準ででやりましょう!(=つまり、ベンダーや組織毎に別々の基準で脆弱性を評価するのではなく)というのがコンセプトだからです。
このように、CVSSとは何か?というのは案外重要だったりしますし、しっかりと覚えておくことで正しい情報をお客様などへ発信できるかと思います(^^)/
そして最後に重要となる3つの基準について、ご紹介して終わりたいと思います!
①基本評価基準
⇒その脆弱性の基本的なヤバさを評価する。時間的な観点などは無視して、とにかくその脆弱性自体のヤバさを評価する。
~イメージ~
・脆弱性を利用して攻撃をするには、その会社のPCを盗まないとだめ。
→そこまでヤバくないかな~と評価する!
・攻撃が成功するために特権IDが必要。
→超ヤバいわけではないな~と評価する!
②現状評価基準
⇒その脆弱性の現在のヤバさを評価する。
~イメージ~
・既にパッチなどにより脆弱性対応が済んでいる
→そんなにヤバくないかな~と評価する!
・パッチも出てないし、脆弱性対策をするのも大変そう
→これはヤバいと評価する!
③環境評価基準
⇒最終的にどのくらいヤバいのかを評価する。言葉の通り、「で、この脆弱性は最終的にどのくらいヤバいの?」を評価する。尚、ここでの評価軸としては①、②に加えて、CIA(機密、完全、可用)の観点をふまえて最終評価をする。
ここはただ覚えるだけです!(笑)
そして、最終的によく見るような、以下のような数値で表されるのがCVSSです。
深刻度 | スコア |
緊急 | 9.0~10.0 |
重要 | 7.0~8.9 |
警告 | 4.0~6.9 |
注意 | 0.1~3.9 |
なし | 0 |
今回は 以上です!!
※2021/02/09に文章を追記・修正しております。
最近釣りに行ってないな~と、昔の思い出に浸ってます(笑)