自由気ままに書いちゃおう

好きなことをつらつらと・・・

脆弱性調査時に出てくるCVSS/CVE/JVN/NVDについて

OS、ソフトウェア、ミドルウェア問わず脆弱性調査を実施する際に出てくる用語(CVSS/CVE/JVNDB/NVD)について簡単にですが備忘も兼ね、纏めております。

 

■はじめに

CVSSについてはIPAのサイトをみることでより詳細なことがわかります。

共通脆弱性評価システムCVSS概説:IPA 独立行政法人 情報処理推進機構


本記事は、IPAサイトなどを見る前に、前提知識を少しつけておいた方が読みやすいであろうと思われることにフォーカスして記載しております。
※ 試験勉強等の情報収集で本記事を訪問された方・・・・申し訳ないのですが期待するような内容になっていない可能性が高く、時間の無駄になってしまう可能性もあるため他のサイトを参照された方が良いかと。

■CVSSとは(概要)

「共通脆弱性評価システム」と呼ばれ、セキュリティの脆弱性の深刻度を評価/数値化(0.0~10.0)したものです。
後述してますが、CVSSは評価基準が3つあり、それぞれの基準に数値がつけられているため、3つの基準の違いを意識していないと「数値にばらつきがあるけど、何が違うの?」って状況になります。。。

■CVEとは(概要)

一つの脆弱性に対して一意の識別子(ID)が付与されており、そのIDを「CVE(=共通脆弱性識別子)」と呼んでいます。

※ "あの脆弱性だよ!あれだよ!"っていうよりも"CVE-YYYY-xxxxxの脆弱性だよ!"って言った方が具体的というのは説明するまでもないですが、まぁそういうことです。

例えば、apache log4jのCVEは「CVE-2021-44228」です。

■JVNとかNVDとか

どちらも脆弱性情報データベースです。
「脆弱性データベース」という用語が出てきましたが、言葉通り「脆弱性に関する情報が一元管理されているデータベース」です。
脆弱性データベースはJVNやNVD以外にも存在します。(データベース管理組織が異なります。)

例えば、apache log4jの脆弱性に対するJVNとNVDは以下の通りです。

NVD - CVE-2021-44228

JVNDB-2021-005429 - JVN iPedia - 脆弱性対策情報データベース

■CVSSとは(詳細)

特徴は以下の通りです。
・ベンダに依存せず、同一基準で脆弱性を評価している
・「基本評価基準」「現状評価基準」「環境評価基準」という3つの基準がそれぞれ存在する
・3つの基準は「0.0~10.0」の数値で評価され、数値が大きいほど深刻と判断できる
・数値のことを"スコア"と呼ぶ
・スコアの算出は、製品ベンダーやセキュリティ専門組織が担当している(若干語弊があるけど・・・)
・数値の算出方法(

共通脆弱性評価システムCVSS概説:IPA 独立行政法人 情報処理推進機構

)が定義されている

■基本評価基準(BaseScore)とは

存在する脆弱性に対して、以下の評価観点6つで評価した最終的な数値のことです。

【評価観点】
1.攻撃元区分
2.攻撃条件の複雑さ
3.攻撃前の認証要否
4.機密性への影響(情報漏洩の可能性への影響度合い)
5.完全性への影響(情報改ざんの可能性への影響度合い)
6.可用性への影響(業務停止の可能性への影響度合い

尚、基本評価基準の数値は「BaseScore(ベーススコア)」「基本値」と呼称されています。
製品ベンダーなどのサイトでCVSSが公表されることがありますが、その際に用いられている数値はBaseScore(基本値)であることが多いです。

BaseScoreは一度評価/数値化されると、基本的にはその数値が変動することはありません。

■現状評価基準(Temporal Score)とは

脆弱性の現時点での深刻度を評価する基準です。基本評価基準との違いは「とある時点での脆弱性の状況を加味して数値化」しているため、参照したタイミングによっては数値に変動がある可能性があります。

現状評価基準にも以下3つの評価観点があります。
1.攻撃される可能性
2.利用可能な対策のレベル
3.脆弱性情報の信頼性

■環境評価基準(Environmental Score)とは

少しわかりにくいのですが、上記「基本評価基準」「現状評価基準」を基に、各自の両環境(システム環境)の状況を加味した際の数値です。そのため、利用者(参照者)によって結果が異なります。

評価観点は3つです。

1.二次的被害の可能性
2.影響を受ける対象システムの範囲
3.対象システムのセキュリティ要求度



■具体例)apache log4j のNVD画面

NVD - CVSS v3 Calculator

 

少し画面が小さいですが、左のグラフから「Base Scores」「Temporal」「Environmantal」とあり、CVSSの値がCVEで使われていることがわかります。

■CVSS/CVE/JVN/NVDの図解

最後になりますが、簡単に図解すると各用語の関連性は以下の通りです。


以上です。