脆弱性単語理解

SSVC

SSVCはCVSSの課題に対応するために提案された、脆弱性の評価指標

ステークホルダーに応じて3種類（サプライヤー、デプロイヤー、コーディネーター）の決定木が用意されています。

脆弱性対応優先度

Defer:現時点では対応しない

Scheduled:定期メンテナンス中に対応する

Out-of-cycle:定期メンテナンス外（次の可能な機会もしくは必要であれば作業時間外）で、通常よりも早く緩和もしくは修正の対応を行う

Immediate:即時対応を行う。必要であれば定期的な組織の運用を停止しても可能な限り素早く、全てのリソースを修正に集中させる。

Decision Pointと脆弱性トリアージの考え方

https://scrapbox.io/files/68c89eb95901f5f917f81613.jpg

CVSS(Common Vulnerability Scoring System)

～脆弱性の深刻度を評価するための指標～

脆弱性の深刻度を評価する国際的な指標です。脆弱性は深刻度に合わせて0.0~10.0の値で表現され、また値のスコープごとに4段階のレベル（Low・Medium・High・Critical）に分類することができます。CVSSは脆弱性の評価指標として最も使用されていますが、脆弱性対応の優先度付けをサポートするための情報を提供していません。

v2とv3との違いについて

仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様

CVSS v3では、スコープという評価項目を導入しました。

『スコープ変更なし』脆弱性の影響がコンポーネントに留まる場合(脆弱想定範囲=影響想定範囲)

『スコープ変更あり』脆弱性の影響がコンポーネント以外にも広がる場合(脆弱想定範囲!=影響想定範囲)。

https://scrapbox.io/files/68c89829a7ea3752cf67a2cc.png

基本評価基準の細分化

https://scrapbox.io/files/68c89875716ff933c1e07f64.png

環境評価基準のアプローチの変更

https://scrapbox.io/files/68c898c64c88b1e4b509bb3d.png

基本評価基準(Base Metrics)

脆弱性そのものの特性を評価する基準。

情報システムに求められる3つのセキュリティ特性

『機密性(Confidentiality Impact)」、

『完全性(Integrity Impact)」、

『可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出。

ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準。

AV ：攻撃元区分 (Access Vector)

v2 脆弱性のあるシステムをどこから攻撃可能であるかを評価します。

v3 脆弱性のあるコンポーネントをどこから攻撃可能であるかを評価します。

AC ：攻撃条件の複雑さ (Access Complexity)

v2 脆弱性のあるシステムを攻撃する際に必要な条件の複雑さを評価します。

v3 脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを評価します。

PR：必要な特権レベル(Privileges Required)

V3：脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを評価します。

UI：ユーザ関与レベル(User Interaction)

V3：脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを評価します。

S：スコープ(Scope)

V3：脆弱性のあるコンポーネントへの攻撃による影響範囲を評価します。

Au ：攻撃前の認証要否 (Authentication)

脆弱性を攻撃するために対象システムの認証が必要であるかどうかを評価します。

C ：機密性への影響 （情報漏えいの可能性、 Confidentiality Impact ）

v２；脆弱性を攻撃された際に、対象システム内の機密情報が漏えいする可能性を評価します。

v３：脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を評価します。

I ：完全性への影響 （情報改ざんの可能性、 Integrity Impact ）

v２；脆弱性を攻撃された際に、対象システム内の情報が改ざんされる可能性を評価します。

v３：脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を評価します。

A ：可用性への影響 （業務停止の可能性、 Availability Impact ）

v２；脆弱性を攻撃された際に、対象システム内の業務が遅延・停止する可能性を評価します。

v３：脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を評価します。

現状評価基準 (Temporal Metrics)

現状評価基準は、脆弱性の現状を評価する基準であり、時間の経過とともに変動する値です。

脆弱性の現在の深刻度を評価する基準。

攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価

E ：攻撃される可能性 (Exploitability)

攻撃コード・攻撃手法が実際に利用可能であるかを評価します。

RL ：利用可能な対策のレベル (Remediation Level)

脆弱性の対策がどの程度利用可能であるかを評価します。

RC ：脆弱性情報の信頼性 (Report Confidence)

脆弱性に関する情報の信頼性を評価します。

環境評価基準 (Environmental Metrics)

対象製品の利用環境を評価する基準で、組織や個人でそれぞれ評価する必要があります。

活用には専門的な知識を必要とするため一般的には難易度が高い

脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出。

この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザ毎に変化。

CDP ：二次的被害の可能性 (Collateral Damage Potential)

対象システムが脆弱性を攻撃された場合の物理的な機器への被害や、生活基盤、身体などへ及ぼす二次的な被害の可能性を評価。

TD ：影響を受ける対象システムの範囲 (Target Distribution)

利用環境の中で、脆弱性を攻撃される可能性のある対象システムを利用している範囲を評価します。

CR, IR, AR ：対象システムのセキュリティ要求度(Security Requirements)

対象システムが要求されるセキュリティ特性に関して、その該当項目（「機密性（C）」、「完全性（I）」、「可用性（A）」）を重視する場合、その該当項目を高く評価。

該当項目毎に、「機密性の要求度(Confidentiality Requirement, CR)」、「完全性の要求度(Integrity Requirement, IR)」、「可用性の要求度(Availability Requirement, AR)」を評価。

環境条件を加味した基本評価の再評価(Modified Base Metrics)

緩和策後の攻撃元区分 (MAV：Modified Attack Vector)

脆弱性のあるコンポーネントをどこから攻撃可能であるかを再評価。

緩和策後の攻撃条件の複雑さ (MAC：Modified Attack Complexity)

脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを再評価。

緩和策後の必要な特権レベル (MPR：Modified Privileges Required)

脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを再評価。

緩和策後のユーザ関与レベル (MUI：Modified User Interaction)

脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを再評価。

緩和策後のスコープ (MS：Modified Scope)

脆弱性のあるコンポーネントへの攻撃による影響範囲を再評価。

緩和策後の機密性への影響 (MC：Modified Confidentiality Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を再評価。

緩和策後の完全性への影響 (MI：Modified Integrity Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を再評価。

緩和策後の可用性への影響 (MA：Modified Availability Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を再評価。

----

OVAL(Open Vulnerability and Assessment Language)

コンピュータのセキュリティ設定状況を検査するためのXMLベースの言語

OVALを用いてコンピュータをスキャンすることで、脆弱性の 対応済み/未対応 を検査することが可能

CPE(Common Platform Enumeration)

～製品を識別するための共通のプラットフォーム名の一覧～

CPE名の基本構成

cpe：/{種別}：{ベンダ名}：{製品名}：{バージョン}：{アップデート}：{エディション}：{言語}

ポイント1：大文字と小文字の区別なし。

ポイント2：基本構成のそれぞれの箇所が空白の場合、「全て」を意味します。例えばバージョンが空白の場合、全てのバージョンを意味。

CVE(Common Vulnerabilities and Exposures)

～一つ一つの脆弱性を識別するための共通の識別子～

脆弱性には一意のCVE（Common Vulnerability Exposure）のIDが割り当てられます。CVE-IDの形式は「CVE-”年(YYYY)”-”(番号)”」という形で割り振られています。

組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断

https://scrapbox.io/files/68c8a3528f0a1ae52fdc335f.png

CWE

ソフトウェアの脆弱性の種類をWeakness（セキュリティ上の弱点）というカテゴリに分けるためのID

「脆弱性の種類それぞれに番号をつけている」

SBOM（Software Bill of Materials、ソフトウェア部品表）

製品に含むソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表

https://scrapbox.io/files/68c8a63e29ac35aab800c742.webp

CSIRT（シーサート）

企業・組織内のセキュリティインシデントへの対応を対象

サイバー攻撃をはじめとした情報セキュリティの事故に対応する、専門チームのことを指します。

セキュリティ事故が発生してしまった場合には、社内外での調整を行い、初期の事態収束化に対応します。

Product SIRT(PSIRT)

製品・サービスを対象

自社が製造/販売した製品の安全確保のため、製品の安全性を脅かす外的脅威に対するセキュリティ対応を専門に実施する組織

製品の開発ライフサイクルにおけるセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の有事対応を行います。

OWASP(Open Worldwide Application Security Project)

組織が信頼できる安全なアプリケーション用のソフトウェアを設計、開発、取得、運用、保守できるようにすることに特化したオープン コミュニティ