<ちゃんと説明できるか!?~CVSSってなんだっけ?~>
前回に続き、ちゃんと説明できるか!?的な観点でCVSSについて見て行きましょう!
ほぼ全ての方が、「CVSS」を日々お聞きになられているかと思いますが、
あまりセキュリティに詳しくない上席や、4月から入ってくる新入社員の方が理解できるように説明できますでしょうか?
(僕は自身がないので、この記事を見た上で説明します(笑))
まず最初に以下を覚えてください。
・CVSS=IT製品、ソフトウェア等の「情報システム」に存在するセキュリティ的な脆弱性の深刻度を、基本評価基準、現状評価基準、環境評価基準の3つの基準から評価したもの
以下は大切なポイントですので、しっかりと抑えておくと良いでしょう!
・CVSSは情報システムに存在する個別の脆弱性毎に評価(スコアリング)されること
→ つまり、発見された脆弱性の深刻度を個別に評価するものです!
・CVSSのスコアリングは3つの基準から構成されている
→ 後述しますが、基本、現状、環境という3本柱で最終的なCVSSスコアが決まります!
ここまでの知識でCVSSの基本知識は十分です。
(難しすぎても、とっつきにくいですからね・・・)
ただ、CVSSの知識には注意が必要なこともあります。特に注意すべきは「CVSSでは個別のお客様に対する影響度は評価ができない」ということです。
例えば、お客様から「サイバー攻撃に対する、あるシステム全体の耐性をCVSSで評価したい」というような要望があるかもしれませんが、CVSSでは正確に評価することができません。なぜなら、CVSSは個別の脆弱性毎にスコアリングされ、その評価は共通の基準で行われるからです。
言い換えれば、「CVSSを基にそれぞれの環境を加味して評価をする」ことで初めてサイバー攻撃に対するシステムの影響度を評価することが可能となります。
そして最後に、3つの基準について紹介して終わります!
①基本評価基準
⇒ その脆弱性の基本的な深刻度を評価。時間的な観点などは無視して、その脆弱性自体の深刻度を評価します。
~イメージ~
・脆弱性を利用して攻撃をするには、その会社のPCを盗まないとだめ。
→ そこまで深刻ではないと評価!
・攻撃が成功するために特権IDが必要。
→ それほど深刻ではないと評価!
②現状評価基準
⇒ その脆弱性の現在の深刻度を評価します。
~イメージ~
・既にパッチなどにより脆弱性対応が済んでいる
→ それほど深刻ではないと評価!
・パッチも出ておらず、脆弱性対策をするのも大変そう
→ これは深刻と評価!
③環境評価基準
⇒ 最終的にどのくらい深刻かを評価。CIA(機密、完全、可用)の観点も含めて最終評価を行います。
これはただ覚えるだけです!(笑)
最終的には、以下のような数値で表されるのがCVSSです。
深刻度 スコア
緊急 9.0~10.0
重要 7.0~8.9
警告 4.0~6.9
注意 0.1~3.9
なし 0
今回は 以上です!
(少しずつ春っぽくなってきましたね。湘南ではぼちぼち、上裸のおじさんたちが現れる季節ですね(笑))
