「この脆弱性はどのくらい危ない？」――IPAが共通指標に基づく深刻度評価

IPAは、セキュリティ脆弱性がどの程度影響を及ぼすかの目安として、CVSSの数値に基づく3段階での深刻度評価を開始した。

[ITmedia]

　情報処理推進機構（IPA）は2月22日、セキュリティ脆弱性がどの程度影響を及ぼすかの目安として、3段階での深刻度評価を開始した。まず試行的に、2007年1月以降に公表された脆弱性、約40件について深刻度を公開している。

　脆弱性の深刻さについては、独自の指標に基づいて評価し、公表しているセキュリティ企業や製品ベンダーもあり、例えばMicrosoftでは4段階で、Secuniaでは5段階で評価を下している。

　一方、ベンダーごとにまちまちではなく、共通の目安を策定しようという目的で作成された手法が「CVSS」（Common Vulnerability Scoring System：共通脆弱性評価システム）だ。FIRST（Forum of Incident Response and Security Teams）によって仕様の改善などが進められており、Oracleのように、自社製品の深刻度評価に採用するベンダーも現れている。

　IPAが採用したのもこのCVSSだ。CVSSの値に応じて、「レベル3（危険）」「レベル2（警告）」「レベル1（注意）」という3つの段階を設定している。

　レベル3には、OSコマンドインジェクションやSQLインジェクション、バッファオーバーフローによる任意のコマンド実行など、リモートからシステムが完全に制御されたり、大部分のデータが改ざんされる問題が含まれる。レベル2には重要な情報の漏洩やサービス停止につながる脅威、レベル1としては、システムの一部に被害が発生する脅威や攻撃に当たって複雑な条件が必要となる脅威が含まれる。

　なお、試行的に深刻度が評価された38件の脆弱性を見ると、大半がレベル3の「注意」で、「警告」は4件。「危険」はまだ0件となっている。ただ、ある脆弱性がどの程度危険か（リスク評価）は、脆弱性の性質そのものもさることながら、運用形態や攻撃コードの有無など、環境によって異なってくる点にも注意が必要だ。

　IPAによればCVSS採用のメリットは、同一の基準の下で脆弱性の深刻度を定量的に比較でき、ベンダーと専門家、システム管理者やユーザーといった異なる立場の人々が、共通の枠組みで議論できるようになること。今回の深刻度評価を、脆弱性への対応策の検討や開発段階におけるセキュリティ品質の作り込みなどに活用してほしいとしている。