ITmedia NEWS >

脆弱性の深刻さ測る「共通語」の策定進む

» 2005年02月19日 23時31分 公開
[高橋睦美,ITmedia]

 パッチの適用は基本的なセキュリティ対策の1つだ。しかし、組織的なパッチ管理を実施するうえで、1つ問題が生じる。果たしてその脆弱性がどのくらい深刻であり、どの程度迅速に対処しなければならないかを把握する客観的なものさしが存在しないことだ。

 管理者としては、脆弱性の深刻さをシステムのアベイラビリティや互換性といった要素と突きあわせ、適用のタイミングを決定することになる。しかし、たとえばMicrosoftは4段階で脆弱性をランク付けし、セキュリティ企業のSecuniaでは5段階で評価を行うといった具合に、企業によって深刻さの尺度はまちまちだ。

 Cisco Systemsのマイク・シフマン氏は、RSA Conference 2005で行ったセッションにおいて、この問題を解決する手法の1つとして「Common Vulnerability Scoring System」(CVSS)を提示した。

 CVSSは、脆弱性の内容や環境といった要因を掛け合わせて数値化する手法だ。これを用いれば、異なる製品に存在する異なる脆弱性を、1つの基準の下で比較できるようにする。「脆弱性の深刻さや緊急性に関するオープンな言語を提供することで、同一の基準の下で比較検討し、対応の優先順位を決定できるようになる」(シフマン氏)

 この枠組みは、ベンダーと脆弱性情報の公開を支援するコーディネータ、それにエンドユーザーの三者に、脆弱性の「深刻さ」「緊急さ」を数値化して提供することを狙ったものだ。その意味で、いわゆる脆弱性データベースやリスク評価システム、インシデント警報システムなどとは異なるという。

 CVSSは、CiscoのほかMicrosoft、SymantecやInternet Security Systemsといった企業の賛同の下、作成が進められている。National Infrastructure Advisory Council(NIAC)やUS-CERTからの協力も得られているほか、脆弱性データベース「CVE」を提供するMITREも参加。また正式な母体は決定していないが、IETFでの標準化に向け、ドラフトをまとめている段階だという。

判断基準に3つの値

 シフマン氏によると、CVSSでは3種類の数値が用意される。1つは、セキュリティの「CIA」に対する影響やリモートからの悪用が可能かどうかといった要素を元に、脆弱性そのものの性質を評価する「基本値」。2つめは、実証コード/悪用コードや問題回避策といった要素を加味した「暫定値」だ。基本値が一定であるのに対し、暫定値のほうはパッチの有無などの状況に応じて変動する。

 この2つの数値は、ベンダーやコーディネータが脆弱性情報を公表する際、ともに提示されることが期待されているという。

 3つめの値は、エンドユーザー自身が設定する「環境値」だ。ターゲットとなりうる機器の配置具合といった要素を加味して算出するオプション的な値だが、「エンドユーザーが自社における対応の優先順位を決定するのに利用する、最終的な値になる」(シフマン氏)。

 この数式に従えば、Cicso IOSに存在するDoSの脆弱性(CAN-2003-0567)の基本値は5.0、暫定値は4.4。Sasserワームに悪用されたWindowsのLSASSの脆弱性(CAN-2003-0533)はそれぞれ10.0、8.7となる。

 シフマン氏の発表に対し会場からは、「算出に当たってはパラメータをもっときめ細かく定めるほうがいいのではないか」「脆弱性の集合についても算出すべきではないか」など、さっそくさまざまなコメントが寄せられていた。

 また、「ウイルスひとつ取っても、ベンダーによって深刻性が異なっているだけでなく、ときには名前さえ異なる。脆弱性についても同じような混乱が起こらないよう標準化が必要だし、それには多くのベンダーを巻き込んでいく必要があるのではないか」という意見も出された。

 RSA Conferenceで「脆弱性の法則」についてプレゼンテーションを行っているQualysのCTO、ゲアハルト・エシェルベック氏もこの動きに賛同している。同氏は、「脆弱性の半減期を短縮することが重要だ。それにはユーザーの認識を高めることと企業内でのプライオリティ付け、ツールやプロセスの自動化という3つの要素が必要だ」と述べ、このうち優先順位の決定の部分においてCVSSが重要な役割を果たすとしている。

Copyright © ITmedia, Inc. All Rights Reserved.