<ちゃんと説明できるか!?~CVEってなんだっけ?~>
IT業界、特にセキュリティに関わる方であれば、一度は耳にしたことがあるであろうCVE。しかし、それを正確に説明できるだろうか?
2024年一発目からニッチな感じですが、漠然としたイメージをより具体的に理解する手助けをするために、がんばります( 一一)
なお、こちらのCVEは「SCAPとそれを構成する6つの要素:https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=26006613543484687」で紹介されている1つの要素ですので、他の記事と併せてご確認ください~~~!
それでは、まず最初に、CVEとは何かをしっかりと理解していきましょう。
・CVEとは?(Common Vulnerabilities and Exposures:共通脆弱性識別子)
→ 米国のMITREが採番する、個別製品内の脆弱性に一意の識別子を割り当てるものです。
これだけでは分かりにくいですね。利用シーンを考えてみましょう。
「利用シーンの例」
セキュリティベンダーA社が「リモートアクセスにより権限を奪取される脆弱性がある」と発表
セキュリティベンダーB社が「リモートアクセスにより管理者権限が奪われる脆弱性がある」と発表
→これを見た人は、「似た内容に思えるけど、異なるベンダーから発表されているのかな?」「それとも、まったく別の内容が発表されているのかな?」と思う可能性があります。そこで、実際にそれぞれのベンダーのサイトを確認して、真意を調べる必要があるかもしれません。
こうした場合の解決策がCVEです。CVEでは、脆弱性を一意に識別できるため、以下のように脆弱性が同一であるかどうかを簡単に把握できます。
※以下では、同一の脆弱性に起因していることが分かります。
セキュリティベンダーA社が「リモートアクセスにより権限を奪取される脆弱性(CVE-XXXX-001)がある」と発表
セキュリティベンダーB社が「リモートアクセスにより管理者権限が奪われる脆弱性(CVE-XXXX-001)がある」と発表
ここまで読んでいただいた方は、「個別製品内の脆弱性に一意の識別子を割り当てる」というCVEの意味をしっかり理解していただけたのではないでしょうか(^^♪ 。
なお、この便利な特性により、CVEは様々なセキュリティツールやデータベースで容易に連携できます。国内ではJVN、JVNIPediaなどで使用されています。
続いて、CVEの構成(読み方)についても知っておいていただきたいです。
・CVEの構成
→CVE-西暦-任意の番号 ※採番はCNAが行う
非常にシンプルです。覚えておいていただきたいのは、「CNA」という言葉です。
CNA(CVE Numbering Authority)とは、MITREから認定を受けた組織で、自らの判断でCVE番号を付与できるものです。例えば、Google、Dell、CiscoなどがCNAの認定を受けています。
世界中で生まれる無数の脆弱性情報をMITREだけで処理するのは不可能なので、認定された組織が分担してCVE番号を割り当てています。
また、CVEには互換認定があります。認定を受けたい組織がMITREに申請し、CVE互換認定を受けると、CVEのロゴが使用できたり、MITREのウェブサイトで紹介されたりします。
(国内ではJVN、JVNIPedia、My JVNが認定を取得)
次回はCVSSについてご紹介できればと思います!!
今回も最後まで、ありがとうございました(^^)
(今週、お仕事で仙台に行ってきました。新幹線が止まっていてドタバタでしたが、仙台で初雪をみれたので良かったです(';')
