先日情報処理安全確保支援士試験(以下SC試験)の令元年秋の午後Ⅱの過去問を解いている時に、CVSS(Common Vulnerability Scoring System: 共通脆弱性評価システム)の評価基準名を選ばせる問題を間違えました。しかも各々の評価基準の違いを覚えようとIPAのサイトを見てみた所、一読では分からない。。。。!!そこで試験前に再確認できるように備忘録をまとめておくことにしました。
CVSSとは
以下IPAの解説ページの引用です。
CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
脆弱性を共通の言葉で議論できるようにするために共通の指標を提供する評価手法だと説明が有ります。CVSSには3つの評価基準が有ります。その解説を以下に引用します。
CVSSでは次の3つの基準で脆弱性を評価します。
(1)基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、『機密性(Confidentiality Impact)」、『完全性(Integrity Impact)」、『可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。(2)現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出します。この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。(3)環境評価基準(Environmental Metrics)
ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出します。この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザ毎に変化します。ユーザが脆弱性への対応を決めるために評価する基準です。
筆者が解いた問題では「入手した脆弱性情報についてその時点で自社にとっての深刻度を評価する」評価基準を選ぶ問題が有り、筆者は「現状評価基準」を選び間違えました。(正解は環境評価基準)しかし上の説明文を読んだだけでは頭の整理が付かずまた同じ間違えをしそうなのでまとめておくことにします。
(1) 基本評価基準(Base Metrics)
脆弱性そのものの特性を評価。この基準の評価結果はセキュリティシステムに求められる3つの特性(CIA)で評価されるため固定で、時間の経過や利用環境の差違では変化しない。
(2) 現状評価基準(Temporal Metrics)
脆弱性に対する今現在の(世間での対応状況などを鑑みた)深刻度の評価。時間の経過とともに(対応などがなされるので)評価値は変化する。
(3) 環境評価基準(Environmental Metrics)
ユーザーの"環境"における脆弱性の深刻度を評価。ユーザー毎で深刻度は変化する。
もうちょっと分かりやすく覚えやすいネーミングを求む!!というのが正直な感想です。