はじめに
プロジェクトで作成するシステムはお客様にとって安心、安全でないといけません。
今回はプロジェクトにおける脆弱性の評価システムについてメモしていきます。
プロジェクトの脆弱性に関連するCVSS
CVSS(Common Vulnerability Scoring System) とは、共通脆弱性評価システムと呼ばれる、
ソフトウェアやシステム上の脆弱性の深刻度を評価する国際的な指標です。
脆弱性が高いほどシステムが外部からの攻撃を受けやすくなり、データの損失や漏洩、システムのダウンタイム、金銭的損失などのリスクが高まります。
CVSSは以下のような目的で使用されます。
- 脆弱性の重要度を判断する
- 脆弱性対策の優先順位を決める
- セキュリティリスクを評価する
- セキュリティ対策の効果を測定する
CVSSにはメリットとして中立性、定量性、国際基準があります。
中立性では、ベンダや製品によって依存しない中立的な基準に基づいています。
定量性では、0.0~100.0の範囲で表されるスコアを用いることで、脆弱性の深刻度を定量的に表現することができます。
国際基準の点では世界中の組織で共通して利用できるため、異なる組織間で脆弱性情報を共有したり、セキュリティ対策を連携したりする際に役立ちます。
CVSSは「基本評価基準、現状評価基準、環境評価基準」の3つの基準で評価します。
基本評価基準
脆弱性の固有の特性を評価する項目です。具体的には、攻撃の難易度、影響を受けるコンポーネント、影響を受ける機密性、完全性、可用性などが評価されます。
現状評価基準
脆弱性が悪用される可能性や、悪用された場合の影響の大きさを評価する項目です。具体的には、公開されている期間、修正プログラムの入手可能性、エクスプロイトの成熟度などが評価されます。
環境評価基準
組織の環境やシステム構成によって脆弱性の深刻度がどのように変化するかを評価する項目です。具体的には、攻撃対象のネットワーク環境、影響を受けるユーザーの特権レベル、組織の依存関係などが評価されます。
さいごに
IT製品において発見された脆弱性について脆弱性対策情報データベースではCVSSでの評価を掲示しています。
脆弱性の代表的な攻撃はSQLインジェクション、クロスサイトスクリプティング(XSS)、ゼロデイ攻撃があります。
組織全体でセキュリティ意識を高め、適切な教育や訓練を実施することも重要になってきます。