Why|なぜ調べようと思ったのか?
- 脆弱性検知ツール
Vuls(バルス)で、上がってきた脆弱性を、纏まった時間をとって対応しよう。 - 社内の対応方針に従って検知結果をスクリーニングし、対象を絞り込んでいく。
- あれ、CVSSスコアが何パターンか出ているけど、JVNとNVDって何がどう違うんだ??NVDスコアしか出てないのもあるぞ...
How|情報整理の意図
- CVE、CVSSの基本理解と関係する団体名の関係性や区別が分かるように纏める。
What|調べた内容
CVE(共通脆弱性識別子)
- サービスベンダーや製品に依存せずに脆弱性やインシデントに一元管理されたユニークなIDが付与される、のがポイント。
- CVEの管理は、米国政府の支援を受けた非営利団体の「
Mitre(マイター)」がしている。 - CVE IDの採番・割当ては、CNA(CVE Numbering Authority)が行っている。CNAには、主要なITベンダーや、セキュリティ企業など100近い組織が登録され、CVE IDの採番を許可された組織となっている。
CVSS(共通脆弱性評価システム)
- 脆弱性の特性と重大性を評価するための標準化されたフレームワーク。
- 2015年~Ver.3で運用中。
CVSSスコア
- CVSS によって算出される、脆弱性に関する一貫性のあるスコア。
- 3つの評価基準に基づいて、3つのスコアが算出される。
- 基本値【ベンダーが公開】:時間の経過によって変化しない
- 現状値【ベンダーが公開】:状況の変化(ベンダの対応や攻撃に使われた実績など)によって変化する
- 環境値【ユーザーが公開】:各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなどで判断する
-
NVD、JVN、ベンダー(Ubuntuなど)は、それぞれ「CVSS基本値」をスコアとして公開している。 -
NVDやベンダーから公開されているCVSSスコアに、ユーザ環境の特性である「環境値」を加えて、全体のCVSSスコアを算出し、対応優先度を判断するのが理想。
NVDとJVN(脆弱性情報データベース)
-
NVD(National Vulnerability Database)- アメリカ、
MITRE(マイター)が管理。
- アメリカ、
-
JVN(Japan Vulnerability Notes)- 日本、
JPCERTとIPAが共同で運営。 - NVDを一次情報とした日本語翻訳なので、どうしても情報掲載のタイムラグが発生する。
- また、NVDから情報が公開されたとしても、CVSS値やCWE値などの情報が不足している場合は、それらの情報が補完されるまで掲載を見送る運用となっている。
- 日本、
補足|語源の理解
CVE:Common Vulnerabilities and Exposures
CVSS:Common Vulnerability Scoring System
- vulnerability(ヴァルネラビリティ):脆弱性
- 「傷つける(vulnero)ことのできる(-bilis)」がコアイメージ。
- 英語 invulnerable(不死身の)と同じ語源。
- exposure(エクスポージャー):表に出すこと、公開、暴露
- 「外に置いて見えるようにすること」がコアイメージ。
- Common Vulnerability
- and Exposures
- Scoring System