<CVEって何ですか?に自信をもって答えられますか。>
IT業界、その中でも特にセキュリティに携わる方であれば、必ず1度は聞いたことのあるCVE。でもそれを正しく説明してくれと言われると、皆さんは自信ありますでしょうか?
今回はそんななんとな~くのイメージをもう少し確かなものにして頂くためのお手伝いをさせて頂ければと思い、頑張ります( 一一)
尚、こちらのCVEは「SCAPとそれを構成する6つの要素:https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=26006613543484687」で紹介している1つの要素となりますので、他の記事と併せてチェックしてみてください~~~!
でははじめに、CVEとは何かをしっかりと理解していきましょう。
・CVEとは?(Common Vulnerabilities and Exposures:共通脆弱性識別子)
→米国のMITREが採番をする、個別製品の中に存在している脆弱性1つ1つに採番される一意の識別子
これだけだと分かりにくいですよね。利用シーンを考えてみましょう。
「利用シーンの例」
-セキュリティベンダーA社から「リモートアクセスにより権限を奪取される脆弱性がある」という発表があった
-セキュリティベンダーB社から「リモートアクセスにより管理者権限が奪われる脆弱性がある」という発表があった
→これを見た人は、「似た内容に思えるけど、同じことが異なるベンダーから発表されているのかな~?」「それとも、まったく別の内容が発表されているのかな~?」と思う可能性があります。そうすると、実際にそれぞれのベンダーのサイトを良くチェックして、その真意を調べたりする必要があるかもしれません。
そんな時の解決策がCVEなのです。
CVEでは、脆弱性を一意に識別することができるので、以下のような形でその脆弱性が同一の脆弱性かどうかを一発で把握することが可能なのです。
※以下では、同一の脆弱性に起因していたことが分かります。
-セキュリティベンダーA社から「リモートアクセスにより権限を奪取される脆弱性(CVE-XXXX-001)がある」という発表があった
-セキュリティベンダーB社から「リモートアクセスにより管理者権限が奪われる脆弱性(CVE-XXXX-001)がある」という発表があった
ここまで読んで頂いた方は、
「個別製品の中に存在している脆弱性1つ1つに採番される一意の識別子」
の意味をしっかりと掴んで頂けたのではないでしょうか(^^♪
ちなみに、このような便利もあり、CVEは様々なセキュリティツール、データベースでの連携が容易です。国内ではJVN、JVNIPediaとかで使われています。
さて、続いて知っておいて頂きたのはCVEの構成(読み方)についてです。
ここは下記を覚えて頂くことに尽きるのですが、頑張ってご紹介します!!
・CVEの構成
→ CVEー西暦ー任意の番号 ※実際の採番はCNAが行う
上記の通り、非常にシンプルです。知識として覚えておいて頂きたいのが、「CNA」という言葉になります。
CNA(CVE NumberingAuthority)とは、米国MITREから認定された、自らの判断でCVE 番号を付与できる組織のことを言います。例えば、Google、Dell、Cisco、国内ではJPCERT/CCなどがCNAの認定を受けています。
このように、世界中で日々生まれる無数の脆弱性情報をMITREのみで精査し、CVEを採番していくことは不可能に近いので、認定された組織が分担しながらCVEという一意の識別子を採番しているのです。(セキュリティにおいて協力はやっぱ大事!!)
そろそろ今回のご紹介は終わりになりますが、最後に!
CVEには互換認定があるという点だけ併せて覚えてしまってください。
認定を受けたい組織がMITREに申請をし、CVE互換認定を受けると、CVEのロゴが使えたり、MITREのWEBサイトに紹介してくれたりします。国内ではJVN、JVN IPedia、My JVNが認定を取得しています!
はい!今回は以上です!ありがとうございました(^^)/
