CVSS(Common Vulnerability Scoring System)
CVSS(Common Vulnerability Scoring System)とは
CVSS(Common Vulnerability Scoring System)とはシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標です。ベンダに依存しない中立的な基準とスコアリング方法により、定量的に脆弱性の深刻度を表現します。
CVSSの概要
CVSSとは、ソフトウェアやシステムが持つ脆弱性の深刻度を表す国際的な指標です。ベンダに依存しない基準とスコアリング手法により、中立的かつ定量的に脆弱性の深刻度を表現します。基準とスコアリングにより算出された値はCVSSスコアと呼ばれ、0.0〜10.0の数値で表されます。
さらに、CVSSスコアは数値のレンジにより脆弱性の深刻度を4つの定性的なレベル(Low、Middle、High、Critical)に分類することが可能です。これらの特性からCVSSは組織で脆弱性対応を行う際の判断材料として活用されています。
CVSSの管理は国際的なサイバーセキュリティ団体であるFIRST(Forum of Incident Response and Security Teams)のCVSS-SIG(Special Interest Group)により行われ、技術動向の変化を反映しながら、改定が行われてきました。直近では、2023年7月に大きな改定が発表され、同年11月には最新バージョンとしてCVSS v4.0がリリースされました。
CVSS v4.0の仕様
CVSS v4.0には脆弱性の深刻度を様々な観点から評価する「評価基準」が存在します。そして、それらの評価基準を組み合わせることで目的に応じたCVSSスコアを算出します。
●CVSS v4.0を構成する評価基準
- 基本評価基準
本評価基準は脆弱性そのものの深刻度を評価する基準で、脆弱性を悪用する際の難易度及び、悪用された場合の影響度を評価します。本基準による評価は、脆弱性対象製品のベンダによって行われ、原則一度評価された内容は変更されることはありません。
- 脅威評価基準
脆弱性を狙う脅威の動向をもとに現時点での脆弱性の深刻度を評価する基準です。評価項目は「攻撃される可能性」の1つだけで構成されています。本項目は脆弱性を悪用するエクスプロイトコードの存在や、実際の攻撃事例の有無をもとに評価を行います。そのような特性から、本基準による評価は時間の経過とともに変動します。なお、本基準による評価は一般に脆弱性対象製品の利用者が自身の持つ脅威インテリジェンスを用いて行うことが想定されています。
- 環境評価基準
特定のシステムの稼働環境における脆弱性の深刻度を評価する基準です。具体的には、個々の組織環境における脆弱性対象システムの機密性、完全性、可用性の要求度の評価と合わせ、同環境の状況を踏まえた基本評価基準の再評価を行います。そのため、本評価は脆弱性対象製品を利用する組織毎に行う必要があり、さらにその結果も組織によって異なるものとなります。
- 補助評価基準
脆弱性への対応を行う際に有効な補足的な情報を提供する基準です。内容は多岐にわたり、攻撃の自動化可能性や、脆弱性を悪用された場合の復旧の難易度等、対象の脆弱性に係る補足的な情報を提供します。本基準による評価は脆弱性対象製品のベンダが必要に応じて行います。なお、本評価基準はあくまで補足的な情報の提供を目的としており、CVSSスコアの算出には使用されません。
図1:CVSS v4.0を構成する4つの評価基準
●CVSS v4.0におけるスコアの種類
CVSS v4.0では前述の4つの評価基準のうち、「基本評価基準」、「脅威評価基準」、「環境評価基準」の3つの評価基準をCVSSスコアの算出に使用します。CVSSスコアはその目的により4種類存在します。
図2:CVSS v4.0における評価基準の組み合わせとスコアの種類
例えば、特定の組織が脆弱性対応に当たり「自組織の環境における脆弱性の深刻度を把握したい」と考えたときには、「基本評価基準」と「環境評価基準」を組み合わせた「CVSS-BE」スコアを使用します。また、それに加え、脅威の動向を踏まえた現時点での最終的な脆弱性の深刻度を把握したいときには、前述の2つの評価基準に「脅威評価基準」を組み合わせた「CVSS-BTE」スコアを使用します。
CVSS v4.0で何が変わったか
CVSS v4.0の前身はCVSS v3.1で、2015年にリリースされたメジャーバージョンv3.0をもとに、一部の評価項目とスコアリングに手を加えたもので、2019年にリリースされました。しかし、当時最新であったCVSS v3.1も時間の経過により、現代のシステム稼働環境にそぐわないものとなってきました。下記はFIRSTが2023年7月に公開したCVSS v3.1の持つ課題です。
- CVSS基本スコアがリスク分析の優先的なインプットに使われている。
(=現状スコア、環境スコアも存在するがあまり使われていない) - リアルタイムでの脅威と補足的な影響の詳細が十分に表現されていない。
- ITシステムだけにしか適用できない。
- 健康、人身の安全、産業用制御システムは十分に表現されていない。
- ベンダが公開するスコアは、多くの場合「高」または「重大」となる。
- 粒度が不十分 - 実際の離散 CVSS スコアは 99 未満である。
- 現状評価基準は最終的な CVSS スコアに効果的な影響を及ぼさない。
- スコアの算出方法が複雑すぎて直感的でないように見える。
※FIRSTが公開したCVSSv3.1の課題[1](当社にて和訳)
このような課題の解決を図るべく新たに考案されたのが、CVSSの4番目のメジャーバージョンであるCVSS v4.0です。CVSS v4.0はCVSSv3.1までの課題を踏まえ次の5つの観点で変更が加えられています。
- 基本評価基準をより細かい粒度にした
- 下流のスコア付けの曖昧さを除去した
- 脅威指標を簡素化しスコアリングへの影響を向上させた
- 脆弱性対応のための補助評価基準を追加した
- OT/ICS/IoTへも適用可能にした
※FIRSTが公開したCVSS v4.0の概要 [2](一部抜粋し当社にて和訳)
上記5つの観点は、下記の形でCVSS v4.0に組み込まれています。
- 基本評価基準をより細かい粒度にした
基本評価基準の評価項目「ユーザ関与レベル」の評価値がCVSS v3.1までの「要(Required)」、「不要(None)」の二択から、「アクティブ(Active)」、「パッシブ(Passive)」、「なし(None)」の三択となりました。また、既存の「スコープ」項目が廃止され、代わりに後続システムへの影響を考慮した項目が3つ追加されました。こちらの詳細は次の項目(「下流のスコア付けの曖昧さを除去した」)にて解説します。
- 下流のスコア付けの曖昧さを除去した
CVSS v3.1まで基本評価基準に存在した項目「スコープ」は製品ベンダ間でスコアが安定しないなどの問題がありました。その問題を解決するため、CVSS v4.0では「スコープ」を評価項目から排除し、その代わりに3つの項目、「後続システムの機密性への影響」、「後続システムの完全性への影響、「後続システムの可用性への影響」を追加しました。そうすることで、脆弱性を悪用された場合、関連するシステムに具体的にどのような影響を与えるのか明確に表現できるようになりました。
- 脅威指標を簡素化しスコアリングへの影響を向上させた
CVSS v3.1では現状評価基準として3つの評価項目がありましたが、それら項目はかねてから最終的なCVSSスコアに影響をあまり与えていませんでした。そのため、それら項目はより本質的な観点(現状攻撃される可能性はあるか)で集約され、「攻撃性される可能性」という1つの評価項目となりました。また、項目の変更に伴い、評価基準名も「現状評価基準」から「脅威評価基準」へリネームされました。
- 脆弱性対応のための補助評価基準を追加した
補助評価基準はCVSS v4.0から新たに登場した評価基準になります。詳細は前述の「CVSS v4.0の仕様」に記載の通りです。
- OT/ICS/IoTへも適用可能にした
こちらは環境評価基準の「緩和策実施後の基本評価の再評価」における、「後続システムの完全性への影響」、「後続システムの可用性への影響」の2つの評価項目に落とし込まれています。本評価項目は評価値として「安全性(Safety)」が存在しており、本評価値はOT関連システムが脆弱性を悪用された際、人身に被害を与える可能性がある場合に使用されます。
CVSS v4.0の最大のポイントは「OTまでカバー範囲を広げたこと」
CVSS v4.0の最大のポイントは「OTまでカバー範囲を広げたこと」と言えます。CVSSは2005年の登場からIT環境における脆弱性の深刻度をより明確に表現すべく、3度のメジャーアップデートが行われてきました。しかし、ICSやIoTのような、いわゆるOT環境で稼働するシステムが明示的に対象とされたのは初めてのことです。
FIRSTのような国際的なサイバーセキュリティの権威がそのような改定を行ったことは、OTセキュリティの重要性が増していることの表れともいえます。DXによりITとOTの境目があいまいになりつつあるこの先、OT環境をそのスコープに収めたCVSS v4.0は組織の脆弱性管理や対処の場面で有効な判断材料となるでしょう。
CVSS v4.0を有効活用するには準備が必要
前述の通り、今後、組織の脆弱性管理と対処においてCVSS v4.0は有用な情報となりえます。しかし、CVSS v4.0によりOT環境における脆弱性の深刻度をより鮮明に把握できるようになったとしても、OTの脆弱性マネジメントをITのそれと同じように進めるのは難しいでしょう。なぜなら、IT環境とOT環境にあるシステムは全く異なる思想で導入・運用されているためです。
ITシステムは一般的に、既に用意されたIT環境に導入されます。そのため、同環境に精通した情報システム部門がその技術的な設計と定期的なパッチ適用や各種メンテナンスのための運用設計を行います。しかし、OTシステムは一般に事業部門がシステムベンダのサポートの元、閉鎖的かつ特定業務に特化した環境に導入されます。
また、OTシステムは組織の生産活動に直結するものが多く、高い可用性が求められます。そのため、パッチ適用などシステムにわずかでも影響を与える可能性がある作業は避けられる傾向があり、そもそも対応を行わない前提でシステムが設計・運用されていることがあります。
そのような背景から、いざ組織がOTシステムにおける脆弱性の深刻度を把握できても、組織全体にIT、OTをまたいでシステム環境を理解しているものがおらず、どのように対処したらよいかわからない、またパッチ適用も現実的にできないという問題が発生します。今後OTセキュリティの強化を考えている組織はこれら問題の解決が必要です。
OT環境の可視化と脆弱性悪用を防止するソリューションの導入が重要
これら問題の解決には、組織のOT環境における資産の可視化と、それら資産の脆弱性悪用を防止するソリューションの導入が重要です。前述の通り、OT環境は自組織内に詳しいものが誰もいないということが往々にしてあります。
そのような組織においては、まず自社がどのようなOT資産を持っているか把握することが必要です。組織がもつOT資産が明確化されれば、それらが保有する脆弱性及び、脆弱性を悪用する可能性のある脅威の把握に繋がります。
資産の可視化は脆弱性マネジメントのスタート地点ではあるものの、それ自体がゴールではありません。リスク低減を達成するには、把握した脆弱性に対する処置が必要です。しかし、前述の通りOT環境のシステムは容易にパッチ適用ができない場合があります。
そのような環境では、パッチ適用以外の方法で脆弱性の悪用を防止する方法を導入する必要があります。具体的にはOT環境向けの監視センサーによるトラフィックの常時監視や、OT専用IPSによる仮想パッチの適用など、OTセキュリティに対応したソリューションの導入が有効です。
参考
・FIRST “Common Vulnerability Scoring System version 4.0: Specification Document”
https://www.first.org/cvss/v4.0/specification-document
・FIRST “Announcing CVSS v4.0”
https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf
・FIRSR “Common Vulnerability Scoring System v3.0: User Guide”
https://www.first.org/cvss/v3.0/user-guide
・独立行政法人情報処理推進機構 "共通脆弱性評価システムCVSS v3概説"
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html
CVSSについての関連情報
4年ぶりの改訂となった「CVSS v4.0」‐脆弱性管理で抑えておくべきポイントは?
2023年11月、脆弱性の深刻度を評価する国際的な指標CVSS(Common Vulnerability Scoring System)が改定されCVSS v4.0の提供が開始されました。本稿ではCVSSv4.0の全貌、及びその変更点を解説いたします。
OTセキュリティの動向調査2023年:第1回「約50%がSOCをOT領域に拡大、課題は可視性」
企業や組織はSOCの役割をOT領域へ拡大しているものの、サイバーイベントの可視性やスキルの課題が障害として立ちはだかっていることが最新の調査から明らかになりました。