サイバーセキュリティ担当が知っておくべき脆弱性情報について

IT security ITセキュリティ
この記事は約6分で読めます。

管理人です。

最近CSIRTの構築・運用に関する情報収集をしています。

CSIRTには定常時と非常時がありますが、定常時の対応として重要なのは脆弱性情報の管理です。

ということで今回の記事では、脆弱性情報の管理について考えてみたいと思います。

脆弱性情報とはコンピュータのソフトウェア、ハードウェアおよびファームウェアなどに存在する弱点のことです。

詳しい本には「脆弱性と弱点は異なる」ということが書いてあったりして、ややこしいですが、要するに悪いハッカーに狙われる(これは脅威と呼ばれますが)と損失を被る部分です。

脆弱性情報は色々な国や団体が、様々な目的のもと収集、管理、公表しています。

ここからは、日本国内のものと海外のもので分けて整理してみます。

日本国内の脆弱性情報

日本国内ではJPCERT/CCとIPAという2つの団体が脆弱性情報を管理しています。

JPCERT/CCは1996年に設立された、コンピュータインシデントに対応する組織です。

当時、MelissaウィルスやCode Redワームなどにより大きな被害を出したインシデントが社会的に問題となりました。

このような問題が背景となりJPCERT/CCが設立されました。

一方のIPAは情報処理全般を扱う独立行政法人です。一般的には情報処理技術試験の主催団体として有名です。

JPCERT/CCとIPAは脆弱性情報の受付、管理、公表を分担して実施しています。

具体的には「情報セキュリティ早期警戒パートナーシップ」と呼ばれる指針を策定して運用しています。

脆弱性対策情報ポータル(JVN)

情報セキュリティ早期警戒パートナーシップでは早期警戒情報として、日本国内の発見者や開発者などから受付した脆弱性情報を管理し公表する仕組みがあります。

この公表に使われているのが、脆弱性対策情報ポータル(JVN)です。

JVNは早期警戒情報として、発見者や開発者との調整が完了した脆弱性情報をいち早く公開しています。

脆弱性情報としては次のような情報があります。

  1. 概要
  2. 影響を受けるシステム・・製品名、ソフトウェア名(バージョン含む)
  3. 詳細情報・・CVE,CWE,CVSS(v2/v3)など
  4. 想定される影響
  5. 対策方法・・ワークアラウンド、アップデートなど
  6. ベンダ情報
  7. 参考情報・・JPCERT/CCからの補足情報や分析結果
  8. 謝辞・・発見者などへのお礼など
  9. 関連情報・・CVE,JVNDB番号

JVNiPediaデータベース

前述のJVNはあくまで日本国内の発見者や開発者からの情報によるものがメインです。(一部海外のCERT/CCと連携したものが含まれますが)

しかし、国内では海外のソフトウェアや製品も使われているので、これだけでは脆弱性管理を網羅できません。

そのため、海外の脆弱性情報を含め、かつ蓄積するための仕組みとしてJVNiPediaというデータベースが公開されています。

JVNiPediaの脆弱性情報としては次のような情報があります。

  1. 概要
  2. CVSSによる深刻度
  3. 影響を受けるシステム
  4. 想定される影響
  5. 対策
  6. ベンダ情報
  7. CWEによる脆弱性タイプ一覧
  8. CVE
  9. 参考情報

ほとんどJVNと同じです。

IPA重要なセキュリティ情報

IPAはJVNやJVNiPediaより、特に重要なセキュリティ情報をIPAのサイトにて公開しています。

まずはこちらを確認することが良いと思います。

海外の脆弱性情報

海外だとNIST(アメリカ国立標準技術研究所)と呼ばれる、セキュリティで最も権威のある機関が公表しているNVDがあります。

NVD

NVDは、国内のJVNの米国版というイメージで良いかと思います。

米国政府のリポジトリであり、Nationalと書かれているとおり国家的な脆弱性管理データベースです。

実際に見てみると、JVNには掲載されていない脆弱性情報をかなりの件数確認することができます。

ただし、NISTが受理して検証していない脆弱性情報も掲載されているため、信憑性は十分に確認してから利用する必要があります。

NISTのJVNiPediaにも連携されているため、そういう意味ではJVNiPediaを確認すれば良いと言えます。

CERT/CC

CERT/CCも脆弱性情報を公開しています。

ただ、包括的に管理するにはNVDを参照としているので、どのような位置づけのデータベースがなのか、よくわかりません。

予備知識

脆弱性情報を確認する時の予備知識としてはCVE,CWE,CVSSの理解が不可欠です。

これらは米国で考案されたものです。

CVE

CVEは共通脆弱性識別子といいます。

米国非営利団体のMITRE社が採番している識別子です。

世界中の脆弱性情報を管理している団体がCVEを脆弱性に付与しており、名前のとおり共通の識別子として利用されています。

詳細はIAPサイトを参照ください。

CWE

CWEは共通脆弱性タイプ一覧といいます。

こちらも米国非営利団体のMITRE社が仕様を考案した分類です。

脆弱性の種類を次の項目で分類します。

  • ビュー
  • カテゴリー・・暗号、ユーザインタフェースなど
  • 脆弱性・・クラス、ベース、バリアントの3つの属性
  • 複合要因

これらの項目はCWEリストに明記されています。

詳細はIAPサイトを参照ください。

CVSS

CVSSは共通脆弱性評価システムといいます。

脆弱性情報の深刻度を10段階の数値で表します。

概要としては基本評価、現状評価、環境評価の3つでスコアリングします。

v3とv2があり、現状はv3が主流になってきていると思います。

計算ソフトウェアなどもあり、パラメタを選択するだけでスコアリングできます。

詳細はIAPサイトを参照ください。

おわりに

その他、ソフトウェア開発ベンダやオープンソースフォーラムなど、様々な団体が脆弱性情報を公表しています。

悪いハッカーなどの攻撃者が利用するExploit Databaseなどにも、攻撃コードの裏返しとして脆弱性情報を確認することができます。

とはいえ、あまり多くの情報源を確認しだすと運用がしんどくなると思います。

日本国内で脆弱性情報の管理をする際には、IPA重要なセキュリティ情報、JVNおよびJVNiPediaを利用すれば、ほぼ網羅できると考えます。

コメント

Copy Protected by Chetan's WP-Copyprotect.