脆弱性管理に用いるCVSSとCVEについて

先んじて、CVSS v4.0 が正式リリースされたことをご紹介しました。
「もう少しインフラやセキュリティ関係者じゃなくてもわかりやすいCVSS前提知識の解説がほしい」と、ご要望を頂きましたので、できるだけ分かりやすくまとめてみました。多少長文となりますが、お付き合いください。

１．身近なところでは

Microsoftが毎月発行する「セキュリティ更新プログラムの公開」で、CVSS等を見る機会があります。先月のセキュリティ更新には、以下の記載があります。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36434 Windows IIS Server の特権の昇格の脆弱性 および CVE-2023-35349 Microsoft Message Queuing のリモートでコードが実行される脆弱性 は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。

2023 年 10 月のセキュリティ更新プログラム (月例) | MSRC Blog
https://msrc.microsoft.com/blog/2023/10/202310-security-update/

上記から、CVEは、各脆弱性に対して付与される識別用の名称やID。CVSSは、脆弱性の深刻度を示すスコアであることが、大まかに分かると思います。もう少し深く掘り下げてみましょう。

２．CVE（共通脆弱性識別子）とは

Common Vulnerabilities and Exposuresの略称で、日本語では「共通脆弱性識別子」と表します。

情報セキュリティにおける個別製品中の脆弱性について、サービスベンダーや製品に依存せず（ここ重要！）に、固有の名称や番号（CVE-ID）が付与されます。また、それらを一元管理しリスト化したカタログを指してCVEと表現することもあります。

CVEが登場するまでは、各種製品ベンダーやセキュリティベンダーが、脆弱性に対して独自に名称を付けていました。各ベンダーが公表する脆弱性情報はバラバラで、とある脆弱性の情報が同じ問題について述べられた情報なのか、はっきりと判別することが困難でした。そのような状況を改善するため、 米国政府の支援を受けた非営利団体のMitre社が、脆弱性を一意に特定できるよう、1999年にCVEを提案・実装したという経緯があります。

３．CVSS（共通脆弱性評価システム）とは

Common Vulnerability Scoring Systemの略称で、日本語では「共通脆弱性評価システム」と表します。

Forum of Incident Response and Security Teams（FIRST）が運営するCVSSは、CVEレコードで特定されたソフトウェアの脆弱性の深刻度を採点するために使用することができます。混同されがちですが、CVSSとCVEとは別のプログラムです。（CVE - Related Efforts に記載あり）

情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会（NIAC: National Infrastructure Advisory Council ）のプロジェクトで 2004年10月に原案が作成されました。CVSSの管理母体として選ばれたFIRSTのCVSS-SIG（Special Interest Group）にて、適用推進や仕様改善が行われています。

４．まとめ

ITサービスマネジメントにおいて、インシデント管理・問題管理などのサービスサポートを適切に行うため、システムが抱える脆弱性を知る指標として、CVSSを利用します。

これから提供するサービス資産に重大な脆弱性を潜ませないため、OS・MW・開発言語などを選定する基準とするなど、設計・開発・構築においても、CVSSは重要な指標となります。

この機会に是非覚えて頂いて、日々の業務に活かしていただければ幸いです。以上で、CVSS と CVE 並びに 脆弱性管理にまつわる説明を終わります。
ご意見ご質問などありましたら、コメントにお願いいたします。

Ａ．おまけ：他にもある脆弱性の指標

脆弱性の管理に利用できる指標には、CVSSの他に、EPSS（The Exploit Prediction Scoring System）や、SSVC（Stakeholder-Specific Vulnerability Categorization）などがあります。

また、業種別のアプローチとして、医療分野に関連する RSS-MD（Risk Scoring System for Medical Devices）、製造業に関連する IVSS（Industrial Vulnerability Scoring System）があります。

長くなってしまうので詳細は控えますが、以下の記事をご紹介します。

脆弱性スコアに惑わされてる？CVSSの深刻度を理解し、効果的に活用する – Sysdig

見るべきは「CVSSスコア」“だけ”でいいのか？　脆弱性管理に役立つ指標をまとめてみた

Ｂ．参考文献

Overview | CVE（英語）
https://www.cve.org/About/Overview

cve-website

Related Efforts | CVE（英語）
https://www.cve.org/About/RelatedEfforts

cve-website

インターネット用語1分解説～CVEとは～ - JPNIC
https://www.nic.ad.jp/ja/basics/terms/cve.html

インターネット用語1分解説～CVEとは～ - JPNIC

共通脆弱性識別子CVE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/scap/cve.html

共通脆弱性識別子CVE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

FIRST Vision and Mission Statement（英語）
https://www.first.org/about/mission

Mission Statement

共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/scap/cvss.html

共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

共通脆弱性評価システムCVSS v3概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html

共通脆弱性評価システムCVSS v3概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

脆弱性スコアに惑わされてる？CVSSの深刻度を理解し、効果的に活用する – Sysdig
https://sysdig.jp/blog/vulnerability-score-cvss-meaning/

脆弱性スコアに惑わされてる？CVSSの深刻度を理解し、効果的に活用する – Sysdig

見るべきは「CVSSスコア」“だけ”でいいのか？脆弱性管理に役立つ指標をまとめてみた：半径300メートルのIT - ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/2310/17/news019.html

見るべきは「CVSSスコア」“だけ”でいいのか？　脆弱性管理に役立つ指標をまとめてみた