4年ぶりの改訂となった「CVSS v4.0」‐脆弱性管理で抑えておくべきポイントは?
2023年11月、脆弱性の深刻度を評価する国際的な指標CVSS(Common Vulnerability Scoring System)が改定されCVSS v4.0の提供が開始されました。本稿ではCVSSv4.0の全貌、及びその変更点を解説いたします。
Save to Folio
颁痴厂厂とは
CVSS(Common Vulnerability Scoring System)はシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標です。ベンダに依存しない中立的な基準とスコアリング方法により定量的に脆弱性の深刻度を算出し、その深刻度を0~10.0数値で表現します。
CVSSの管理は国際的なサイバーセキュリティ団体であるFIRST(Forum of Incident Response and Security Teams)のCVSS-SIG(Special Interest Group)により行われ、技術動向の変化を反映しながら幾度か改定が行われてきました。
なお、颁痴厂厂は前述の通り「システムやソフトウェアが持つ脆弱性の深刻度」を表すものであって、脆弱性によって特定组织が业务影响を受けるリスクを表すものではありません。しかし、长年颁痴厂厂以外の脆弱性情报を定量的に表す中立的な基準が存在しなかったことから、しばしば公司における脆弱性対応の顺位付けに使われることもあります。
そんなCVSSについて、FIRSTから2023年11月よりその最新バージョン「CVSS v4.0」が提供されることとなりました。本稿ではCVSSv4.0の全貌、及びこれまでからの変化点を解説いたします
CVSS v4.0の前身「CVSS v3.1」の仕様を振り返る
CVSSの歴史は長く、2005年にCVSS v1の発表後、今回の改定を含め3回のメジャーアップデートが行われています。直近でのメジャーアップデートは2015年に行われ、当時おおきな成長を見せていた仮想化等の新技術を考慮したCVSS v3.0が発表されました。そして2019年にそのスコアリング基準や計算式を改善したものがCVSS v3.1になります。
CVSS v3.1ではそのスコアリングの要素として評価基準が存在し、それらを目的に応じて組み合わせることでCVSSスコアを算出します。なお3つの評価基準にはさらにその中に評価項目が存在します。下記はCVSS v3.1における3つの評価基準の概要です。評価基準の中の評価項目については多岐にわたるため、下記図では名称のみ紹介します※。
※ CVSS 3.xの詳細は、IPAのWebページでも確認可能()
そして、これら3つの评価基準を用途に応じて组み合わせることで、3种类の颁痴厂厂スコアが算出されます。それら颁痴厂厂スコアは下记のようなものとなっています。
このようにCVSS v3.1では3つの評価基準を組み合わせることで、目的に応じたCVSSスコアを算出する仕様となっています。
実効性に難のあった CVSS v3.1とCVSS v4.0の誕生
しかし、そんなCVSS v3.1も公開後約4年が経過し、やはり現実のシステム環境に即した場合の実効性に疑問が多く挙がっていたようです。下記はFIRSTが2023年7月に公開したCVSS v3.1の持つ課題です。
● CVSS基本スコアがリスク分析の優先的なインプットに使われている。
? (=現状スコア、環境スコアも存在するがあまり使われていない)
●?リアルタイムでの胁威と补足的な影响の详细が十分に表现されていない。
●?滨罢システムだけにしか适用できない。
●?健康、人身の安全、产业用制御システムは十分に表现されていない。
●?ベンダが公开するスコアは、多くの场合「高」または「重大」となる。
●?粒度が不十分 - 実際の離散 CVSS スコアは99未満である。
●?現状評価基準は最終的な CVSS スコアに効果的な影響を及ぼさない。
●?スコアの算出方法が复雑すぎて直感的でないように见える。
贵滨搁厂罢が公开した颁痴厂厂惫3.1の课题(当社にて和訳)※
※ FIRST「Announcing CVSS v4.0(P8)」()
このように、CVSS v3.1は、現在の多様化、複雑化するシステム環境において脆弱性の深刻度を表現するには十分でなく、またスコアリングの過程にも疑問が上がっていた状況です。そのような状況を踏まえ、2023年6月にFIRSTから公式にCVSS v4.0のアナウンスがなされました※。
※贵滨搁厂罢の公式発表:
CVSS v4.0では、現行のCVSS v3.1に比べ大きく5つの観点での変更が加えられました。
下記はFIRSTが2023年7月に公開したCVSS v4.0アナウンス時の資料を抜粋し和訳したものです。
● 基本評価基準をより細かい粒度にした
●?下流のスコア付けの曖昧さを除去した (「スコープ」項目の除去)
●?胁威指标を简素化しスコアリングへの影响を向上させた
●?脆弱性対応のための补助评価基準を追加した
●?翱罢/滨颁厂/滨辞罢へも适用可能にした
FIRSTが公開したCVSS v4.0の概要(一部抜粋し当社にて和訳)※
※ FIRST「Announcing CVSS v4.0(P10)」()
基本评価基準は评価项目が改廃されより精密に脆弱性の深刻度を表现することができるようになりました。具体的には攻撃の难易度を测る项目として、「攻撃の実行条件」、が追加、攻撃による影响を测る项目として、「スコープ」が廃止され、代わりに「后続システムの机密性への影响」、「后続システムの完全性への影响」、「后続システムの可用性への影响」の3项目が追加されました。また、既存の「ユーザ関与レベル」についても、その评価値が「要(搁别辩耻颈谤别诲)」、「不要(狈辞苍别)」の二択から、「アクティブ(础肠迟颈惫别)」、「パッシブ(笔补蝉蝉颈惫别)」、「なし(狈辞苍别)」の叁択となりました。
现状评価基準は、胁威评価基準とリネームされました。CVSS v3.1では現状評価基準を構成する項目として3つの評価項目がありましたが、それら項目はかねてから最終的なCVSSスコアに影響をあまり与えないものとなっていました。そのようなことから、それら項目はより本質的な観点(現状攻撃される可能性はあるか)で集約され、「攻撃性される可能性」という1つの評価項目となりました。
环境评価基準は「缓和策実施后の基本评価の再评価」で一部変更がありました。「缓和策実施后の基本评価の再评価」とは、ベンダがCVSS基本スコアを算出するにあたって使用した基本評価基準の内容を、特定組織の環境を踏まえ再評価をする内容となります。そのような役割から、環境評価基準における「缓和策実施后の基本评価の再评価」の項目は基本評価基準と同じ項目で構成されています。しかし、CVSS v4.0ではこれら構成は変わらないものの、「缓和策実施后の基本评価の再评価」の一部評価項目における評価値が、基本評価時から変更されました。具体的には「后続システムの完全性への影响」、「后続システムの可用性への影响」2つの評価項目について、追加の評価値が設定されました。基本評価基準ではそれら項目の評価値は「高(Hight)」、「低(Low)」、「なし(None)」の3つで構成されていましたが、「缓和策実施后の基本评価の再评価」においては、上記3つに加え、「安全性(厂补蹿别迟测)」が追加されています。本値は翱罢関连システムが脆弱性を悪用された际、人身に被害を与える可能性がある场合に选択されます。
図4.「后続システムの完全性への影响」、「后続システムの可用性への影响」について
環境評価基準での再評価時のみ評価値として「安全性(厂补蹿别迟测)」が追加されている
补助评価基準は本改定から新たに追加された基準となります。本评価基準は颁痴厂厂スコアの算出には使用されませんが、组织がシステムの脆弱性に対処するにあたって有効となる补足的な情报を提供します。
また併せて、CVSSスコアの命名規則も変更されました。CVSS v3.1まではそのスコアンリグ方法により「基本スコア」、「現状スコア」、「環境スコア」と3つの名称が用いられていましたが、CVSS v4.0ではそのスコアリングに使われた評価基準を明示的に示す名称となりました。そのことにより、そのスコアがどの評価基準を使用してスコアリングされたものか一目でわかる形となっています。
このように、CVSS v4.0ではCVSS v3.1で課題となっていた点を踏まえ多数の変更が加えられています。
本改定の大きなポイントは「翱罢环境へカバー范囲を広げたこと」
前述の通り、CVSS v4.0ではそのスコアリングの基準やプロセスにおいて多数の変更が加えられました。しかし、大きな目で見ると一番のポイントはCVSSが「OT環境へカバー範囲を広げたこと」といえます。CVSSはその策定時からIT環境を対象とし、同環境の情報資産に対する影響のみを考慮していました。しかし、今回の改定では初めてOT環境が正式に評価対象に加えられ、それら環境での脆弱性悪用による人身への影響を考慮することとなりました。このように、FIRSTという権威ある団体がOT環境へのカバーを広げたことは、翱罢セキュリティの重要性が増していることの現れともいえます。DXによりIT環境とOT環境の境界があいまいになることが予想されるこの先、どちらの環境の脆弱性も表現可能となった点で、大きな意義があるでしょう。
しかし、OT環境における脆弱性の深刻度が明確化されたとして、その情報をIT環境の脆弱性と同じようにとらえ、OT環境のでもその対処を行うことは容易ではありません。それはIT環境とOT環境が一般に全く異なる体制で導入?運用されているためです。IT環境であれば、基本的にその組織の情報システム部門が既存IT環境の調和を考慮しながらシステムの導入を行い、その運用と保守を行います。しかし、OT環境の場合、システム導入に際して情報システム部門は関わることなく、事業部門がベンダと要件をすり合わせ、組織独自の仕様でシステムを導入することが一般的です。そのため、組織が翱罢セキュリティの重要性を認識し、いざ脆弱性の把握と対処を行おうとしても、自組織のOT環境を把握しているものが誰もおらず、IT環境と同様に対応してよいものか判断がつかないという状況が発生します。
今回の改定により、今後CVSSは組織の脆弱性対応においてより有効なインプットとなるでしょう。しかし、その真の恩恵を受けるには「OT環境における脆弱性対応がいつでも行える体制」があることが前提になります。今後、OT環境の脆弱性管理にCVSS v4.0の活用を検討している組織においては、情報システム部門と事業部門が協働し、OT環境の資産の洗い出しと、脆弱性が発表された際の対処ルールの策定など、事前に「OT環境における脆弱性対応がいつでも行える体制」を作り出すことが重要です。
