13
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

SecurityAdvent Calendar 2015

Day 1

脆弱性には番号があるらしい

Last updated at Posted at 2015-12-01

今まであまり気にしたことがなかったけど、脆弱性には番号がつくらしい。そうすると、今回発見されたこの脆弱性は、過去の◯◯番のと同じだよねーとか、あのカテゴリーに入りそうだよねー、とかの話ができる。

当たり前の話といえばそうなんだけど、どうもセキュリティ界隈には似たようなキーワードがたくさんあって混乱するので、脆弱性番号に限らず整理を試みたよ。

#CWE (Common Weakness Enumeration)

1999年頃から米国の非営利団体MITREが中心となって策定した共通脆弱性タイプ一覧のこと。脆弱性の種類を体系化してそれぞれに番号を振っている。

わかりやすい図。IPAのページに詳しい。

CWEの図

#JVNVU#XXXXXXXX
脆弱性レポートのこと。X部分は数字が入る。オリジナルレポートの出処によって、JVN#XXXXXXとなったり、JVNTA#XXXXXXXXとなったりする。詳しくはこちら

#CVE (Common Vulnerabilities and Exposures)
個別製品中の脆弱性に対して、米国のMITRE社が採番している一位の番号のこと。デファクト。

#JVN (Japan Vulnerability Notes)
JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベースのこと。
レポートされた個別製品中の脆弱性それぞれに番号がつく。CVEと連携しており、対応が取れるようになっている。中身をみると、複数のCWE番号で示された問題が内在していたりする。

#CVSS (Common Vulverability Scoring System)
情報システムの脆弱性に対するオープンで汎用的な評価手法のこと。
詳しくはIPAのこちら

  • (1) 基本評価基準 (Base Metrics)
  • (2) 現状評価基準 (Temporal Metrics)
  • (3) 環境評価基準 (Environmental Metrics)
    の3つの数値から
  • 基本的にどの程度危ないのか。 (1)
  • 今現在、どの程度危ないのか。 (2)
  • 2次被害含めてどの程度深刻な問題なのか。 (3)

を数値化する。

(1)のCVSS基本値によって深刻度がレベル分けされる。こんな感じ。詳しくはこちら

深刻度 CVSS基本値
レベル3(危険) 7.0〜10.0
レベル2(警告) 4.0〜6.9
レベル1(注意) 0.0〜3.9

こちらにCVSS計算ツールがあるので、触ってみるとイメージがわくと思う。

ちなみに、ちょうど2015/12/1からJVNがCVSS v3表記にも対応するようだ(これまではv2)。


はい。すでに混乱してきましたねー。

具体的な例を挙げてみましょう。

#POODLEの例

昨年、賑わった「SSL 3.0 の脆弱性」通称、POODLEについて

POODLEには、CVE番号としてCVE-2014-3566が採番されています。
JVNではJVNVU#98283300として脆弱性レポートが公開され、JVNDB-2014-004670が採番されています。
CWEによる脆弱性タイプはCWE-310 暗号の問題 (本家)に分類されます。関連するCWEとしてCWE-254, CWE-311など10種類挙げられています。
CVSSによる評価は、基本値4.3(警告)です。
各ベンダは 「CVE-2014-3566への対応策」として情報を提供します。

...といった感じです。

おわり。

13
12
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
13
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?