脆弱性のレベルとは？ CVSSの活用方法と対策方法を紹介

脆弱性のレベルとは

個人情報漏洩やシステム障害など、セキュリティインシデントの多くは、情報システムの脆弱性に起因しています。

どの情報システムにも脆弱性があります。

設計ミスやコーディング時のミスなど、その原因は様々であり、またその脆弱性につけこむ攻撃手法も数多く存在します。

セキュリティリスクをすべて考慮に入れてシステムを構築するのは不可能であり、攻撃の手法は日々進化しています。

セキュリティ攻撃に対する対策を講じようにも、軽微なものから深刻なものまで、システムの脆弱性は数多く存在します。

そこで、問題が発生した場合の影響度や、攻撃の受けやすさ、問題が発生する可能性、対策の立てやすさなどから、脆弱性のレベルを客観的に評価し、脆弱性の深刻度を判断できる指標を使います。

これにより、組織にとって深刻度の高い脆弱性から、優先的に対処していくことが可能になります。

脆弱性診断の指標として使われるのが、共通脆弱性スコアリングシステム（CVSS）という手法です。以下で詳しく解説します。

共通脆弱性スコアリングシステム（CVSS）とは

共通脆弱性評価システム（Common Vulnerability Scoring System）とは、情報システムの脆弱性を評価する、オープンで汎用的な手法です。

2004年に米国家インフラストラクチャ諮問委員会（ NIAC: National Infrastructure Advisory Council ）のプロジェクトによって原案が作成されました。

特定のベンダーに依存した評価手法ではないため、様々な情報システムのベンダーやユーザー、スペシャリストとの間で、共通の認識をもって評価結果を検討し、議論を進めることができます。

さまざまな評価指標に基づいて情報システムの脆弱性を評価し、その深刻度が客観的なスコアとして得られるので、脆弱性に対するアクションの優先度を判断する基準として使えます。

CVSSの評価基準

CVSSでは、3つの評価基準を用いて、情報システムの脆弱性を評価します。

CVSSで用いられている評価基準は、以下の通りです。

1.基本評価基準（BaseMetrics）

システムの脆弱性そのものを評価する基準で、ある脆弱性の深刻さをあらわす、基本的な基準となります。

以下の指標から、「CVSS基本値」を算出します。

2.現状評価基準（TemporalMetrics）

脆弱性の深刻度を評価する基準で、脆弱性を悪用した攻撃手法があるかどうかや、対策情報が利用できるかどうかといった基準で評価を行い、「CVSS現状値」を算出します。

脆弱性への現状が変化するとこの基準による評価結果も変化するため、その時点での脆弱性の深刻度を算出できます。

具体的には、以下のような評価基準があります。

3.環境評価基準（EnvironmentalMetrics）

脆弱性の最終的な深刻度を評価する基準で、受けた攻撃の被害の大きさや、製品、サービスの利用状況に応じた基準で評価します。

この基準により、ユーザーは脆弱性に対してどのような対応をとるのかを判断できます。

以下の基準から、「CVSS 環境値」を算出します。

CVSSを用いて脆弱性レベルを測る方法

CVSSを用いて情報システムの脆弱性レベルを測る場合、いくつかのステップがあります。

以下に一般的な流れをご紹介します。

1.脆弱性公開時に基準となる対応方針を決定する

たとえば、組織で使用している情報システムに、何らかの脆弱性が公開された場合に、組織としてどのように対応をするのか、その方針を決定しておきます。

すべての脆弱性に対して、闇雲に対策をするのは効果的ではありません。

CVSSの評価結果、つまり脆弱性の深刻度に応じて、いつまでに、何を行うかなどの、対応方針を決定します。

例えば、CVSSの評価スコアが高い場合には迅速に対策を講じるが、スコアが低い場合には対応の優先順位を下げるなどの方針を決定します。

また、ユーザーをはじめとしたステークホルダーに、いつ、どのように周知するかなど、システム以外への対応も検討します。

2.システムに対して求められる、セキュリティの要求度を決定する

組織のシステム構成を確認し、機密性、完全性、可用性それぞれの観点から、システムごとにセキュリティをどの程度確保する必要があるのか決定します。

システムによって、求められるセキュリティ要求度は異なります。

例えば、外部に個人情報を公開しているシステムでは、個人情報の漏洩や内容の改ざんに対するセキュリティ要求度は高くなりますが、システム中断リスクなどの可用性については、要求度が少し低くなるかもしれません。

3.脆弱性の公開後、収集した情報をもとにして、CVSSを計算して対応方針を決定する

ベンダー製品サイトで脆弱性情報（セキュリティアドバイザリー）が公開された場合、脆弱性の内容や危険度、影響を受ける範囲と対処法、脆弱性を一意に識別するCVE番号などの情報を収集します。

さらに脆弱性情報データベースや注意喚起サイト、ウェブのニュースサイトなどで、関連する情報や、CVSSの基本評価値を収集します。

その後、攻撃コードの存在有無、対策の公開有無などを加味して、CVSS現状評価を行います。さらに、組織内のセキュリティ要求度を考慮したCVSS環境評価を行い、最終的なCVSS評価値を算出します。

このCVSS評価結果を、あらかじめ決定した対応方針に照らし合わせ、対応方針を決定します。

脆弱性への対策レベルを高める方法

では、脆弱性への対策レベルを高めるためには、どのような手段があるのでしょうか。

以下に、社内の情報システムの脆弱性への対策レベルを高めるために有効な、代表的な方法をご紹介します。

1.定期的にIPAのWebサイトを確認し最新情報を社内共有する

IPA（独立行政法人 情報処理推進機構）のWebサイトには、情報システムのセキュリティを脅かす、セキュリティ上の問題とその対策情報が掲載されています。

定期的にページをチェックしましょう。

参考：「IPA 独立表性法人 情報処理推進機構 重要なセキュリティ情報一覧」

組織内で使用しているシステム製品に影響する情報を見つけた場合は、速やかに組織内で共有します。

すでに攻撃が発生している、緊急度が高い情報には「緊急」のラベルがつけられていますので、深刻度に応じた対策を講じます。

IPAのTwitterアカウントをフォローしたり、IPAが発行するメールニュースを購読したりすれば、最新の重要なセキュリティ情報をリアルタイムに収集できます。

また、国内外の脆弱性対策情報を収集している「脆弱性対策情報データベースJVN iPedia」では、様々な脆弱性についての詳細情報や、脆弱性のCVSS値も確認できます。合わせて利用すると良いでしょう。

2.自組織のシステム製品が抱える脆弱性について、深刻度を把握しておく

自組織の情報システムが抱える脆弱性を把握し、その深刻度を把握しておきます。

脆弱性への対策情報では、その脆弱性の固有値であるCVSS基本値が公表されます。

自分の組織における深刻度を把握するには、そこからCVSS現状値とCVSS環境値を自分で計算する必要があります。

たとえば同じ脆弱性でも、そのシステムが扱う情報の種類や利用者の状況によって、その深刻度は異なります。

JVN iPedia の「CVSS 計算ソフトウェア」を使用すると、脆弱性を検索したうえで、自組織における現実的なCVSS値を計算できます。

脆弱性への対策を講じる際に、優先度を判断するために役立ちます。

3.システム製品のアップデートを定期的にチェックする

サーバーやPC、ネットワーク機器、ソフトウェアなど、システム製品のベンダーのWebサイトも、定期的に確認しましょう。

自社製品の脆弱性情報や、その対策について、情報が提供されている場合があります。

また、すでに脆弱性についてシステム製品での対策がされており、製品のアップデートを行うことで、脆弱性をついた攻撃を回避することができるかもしれません。

製品自体に、ソフトウェアを自動的に更新する機能がある場合には、運用上の問題を考慮したうえで、できる限り活用しましょう。

脆弱性のレベルのまとめ

情報システムの脆弱性を放置することは、個人情報漏洩やシステム障害といったセキュリティインシデントに直結します。

脆弱性をゼロにすることは難しくとも、脆弱性を正しく捉えておくことで、対応方針を決定し、対応レベルを高めることは可能です。

脆弱性の深刻度を客観的に測れるCVSSを活用し、脆弱性への対策レベルを高めておきましょう。