CVEとCVSSスコアをざっくり知っておくなら

セキュリティの事件や事故がふつうにニュースになる機会も増えてきた昨今。製品やサービスのバグや脆弱性もニュースになることがあります。そういうニュースの中で、本筋の脇に自然に書かれているわりに意味が全然分かっていない単語も含まれています。

が、だいたいの人はよく分からないまま、ニュースタイトルの「危険度最高」「緊急性が高い」みたいな単語で「うちのシステムは大丈夫なのか?」「やばいんじゃない?」みたいな会話になりがち。それはそれでいいんですが、折角なら知らない単語をほんの少し知っているといいのかな、という気もします。全く聞いたことない単語ではない、っていうレベル感。

というわけで、今回は「CVE」と「CVSSスコア」について、IT部門やセキュリティ業じゃなくても、これだけ知っておけば、なんとなく読めた気がする程度の単語説明をしてみます。


ちょうど一年前、2020年の7月にこんなニュースがありました。

https://www.itmedia.co.jp/news/articles/2007/15/news069.html

2行目から早速でています。CVE-ちょめちょめ、とCVSSの危険度は最高の10.0。これです。

CVEとは

CVEとは、日本語で「共通脆弱性識別子」と呼ばれるもので、その名の通り脆弱性を識別するためのものです。この識別子は「共通」という点が大事で、サービスベンダーや製品に依存せずに脆弱性やインシデントに一元管理されたユニークなIDが付与されることが特徴です。このIDをCVE IDといい、上のニュースの「CVE-2020-1350」がそれです。ぱっと見で想像がつく通り、CVE-西暦-連番 です。このCVE IDのもつ情報を一元管理するリストを大きくCVEと表現することが多いです。

CVEの管理は、米国政府の支援を受けた非営利団体のMitre社(マイター)がしています。そして、CVE IDの採番・割当ては、CNAと呼ばれる採番を許可された組織が行っています。CNAには、主要なITベンダーや、セキュリティ企業など100近い組織が登録されていて、一定の条件に合致することで、CVE IDを発行し、割り当てています。

というわけで、”CVE-ちょめちょめ”という番号が出てきたら、ベンダー独自ではないちゃんと一元管理されている脆弱性の情報なんだな、とまずは思ったらいいと思います。

CVEの情報は公開されているため、誰でも確認することができます。

CVE - CVE
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
CVE security vulnerability database. Security vulnerabilities, exploits, references and more
CVEDetails.com is a vulnerability intelligence solution providing CVE security vulnerability database, exploits, advisories, product and CVE risk scores, attack...

先のMicrosoftのニュースの件も、2020Julyを探すと、見つかります。

CVSSスコアとは

もう一つ押さえておきたい用語として、CVSSスコアというのがあります。「CVSSの危険度は最高の10.0」と書かれていたのがそれです。

先ほどのCVEの情報を改めてみてみると、

Scoreという項目に、9.3や4.3という数字が並んでいます。これのことです。

このスコアは共通の計算式があり、それに基づき算出されています。計算される数字は3種類ありますが、CVEの一覧に公開されていたりニュースにでるのは基本値の数字です。

・時間の経過によって変化しない基本値
・状況の変化(ベンダの対応や攻撃に使われた実績など)によって変化する現状値
・各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなどで判断する環境値

CVSS基本値は0~10.0までで判定されますが、その大きな括りはIPAのサイトにある表が分かりやすいです。

https://www.ipa.go.jp/security/vuln/SeverityLevel2.html

見ての通りで、7.0~10.0が危険で、10.0に近いほど多くの人の目につくニュース媒体でも報道される確率があがってきます。

今回は、難しいことを考えないで理解するというテーマなので、7以上の数字は「やばいかも?」と思えばいいと思います。その上で、IT部門やセキュリティ担当者に例えば「9.3ってかなり高いけど大丈夫かな?」て聞けばいいだろうし、ちょっと踏み込むなら「CVEEは4.3だからうちにはリスクないかもしれないけど、どういう感じ?」て聞くくらいが出来ると、ニュース棒読みじゃないんだな、て感じてもらえるのじゃないかな、と思います。


このあたりは、かなり細かい情報がバックにある専門用語。だけど、普通にニュースに使われるようになってきたので全く何も知らないよりは知っていた方がいいと思うので、紹介しました。

コメント

タイトルとURLをコピーしました