Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
57
Help us understand the problem. What is going on with this article?
@sahn

ざっくり分かる脆弱性指標 - CVE CVSS CWE

More than 3 years have passed since last update.

背景

ソフトウェアの脆弱性を確認する際、必ず出てくる用語であるCVE, CVSS, CWEをざっくり把握しておく。
簡単に言うと、

  • CVEは世の中の脆弱性の一元的なID、
  • CVSSはその脆弱性の深刻度点数、
  • CWEはその脆弱性がどのカテゴリなのか

を表す。

参考文献

CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子

  • 一言でいうと、「世の中の脆弱性情報を一意に管理するためのID」
  • 様々のソフトウェア製品の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与し、脆弱性を管理
  • 命名規約は、「CVE-YYYY-XXXX」 : YYYYは年、XXXXは一意の番号を表す。
    • 例)CVE-2014-3566(SSLv3脆弱性のPOODLE)、CVE-2016-1018(Abode Flashの脆弱性)
  • 日本では上記CVE-IDに準拠した形のJVN-ID(IPAとJPCERT/CCが共同で運営しているJVNにより管理)で識別

CVSS (Common Vulnerability Scoring System) - 共通脆弱性評価システム

  • 一言でいうと「脆弱性の深刻度のスコア」
  • 情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供。
  • 以下のように深刻度でレベル分け。

image

CWE (Common Weakness Enumeration) - 共通脆弱性タイプ一覧

  • 脆弱性を種類別(どういう領域の脆弱性なのか)に分類した指標。
  • CVE, CVSSの補足情報としての位置づけ。現時点(2016/12)で全てのCVEに対してCWE IDが付与されているわけではない。

実際の例

CVE Details

たとえば、2016/04月に見つかったAdobe Flash Player脆弱性のCVE-2016-1018(CVSS 9.3)はこちらに記載されている。
http://www.cvedetails.com/cve/CVE-2016-1018/

Oracle Java SEの例

Oracle社が公開した、2016/10のCritical Patch UpdateのJava SE関連脆弱性はこちらに公開されている。
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html#AppendixJAVA

一部抜粋したイメージは以下の通り。

image

この表では、一番左側に「CVE#」と書いてあるのがCVE ID、真ん中の「CVSS Version 3.0 RISK」の「Base Score」カラムにCVSSスコアが記載されている。

Microsoftの例

Microsoftの「セキュリティ アドバイザリとセキュリティ情報」の中で、MS16-132はこちらに公開されている。
https://technet.microsoft.com/library/security/ms16-132

一部抜粋したイメージは以下の通り。

image

この表ではCVE番号「CVE-2016-7256」とCVSS(このサイトの場合は、数字のスコアではなく「重要、緊急」などで表示)が記載されている。

57
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
sahn

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
57
Help us understand the problem. What is going on with this article?