CVSSスコアの解説「セキュリティ診断結果の見方」

WordPressに限らず、ソフトウェアにはセキュリティが求められます。そして、ソフトウェアがどの程度安全か(もしくは危険か)を判断するために、「セキュリティ診断」という行為が存在します。 ただ、セキュリティ診断を行ってもその正しい見方を知らなければ、診断の意味はありません。例えば診断を行った結果、「脆弱性が有ります」と言われても、それがどの程度の脆弱性で、どの程度緊急で対応しなければいけないのか、そういったことがわからなければ対策を打つことが難しくなります。

では、セキュリティ脆弱性の程度を測るためのものさしはあるのでしょうか。実は色々なものが存在します。その中でも代表的なものさしである、CVSS基本値スコアについてご紹介します。 CVSS基本値スコアは、正式名を共通脆弱性評価システム( Common Vulnerability Scoring System)と言い、元々はアメリカの国家インフラストラクチャ諮問委員会、という組織のプロジェクトが出自です。

 

共通脆弱性評価システム概説”(IPA) CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

CVSSの評価基準は大項目で3、詳細項目で14項目の評価基準が有ります。 Ⅰ基本評価基準

  1. 攻撃元区分
  2. 攻撃条件の複雑さ
  3. 攻撃前の認証要否
  4. 機密性への影響
  5. 完全性への影響
  6. 可用性への影響

Ⅱ現状評価基準

  1. 攻撃される可能性
  2. 利用可能な対策のレベル
  3. 脆弱性情報の信頼性

Ⅲ環境評価基準

  1. 二次的被害の可能性
  2. 影響を受ける対象システムの範囲
  3. 機密性の要求度
  4. 完全性の要求度
  5. 可用性の要求度

そして、これらの項目に付けられたスコアを基に、CVSS基本値、CVSS現状値、CVSS環境値の3つのスコアを算出します。これらのスコアの多寡により、深刻度を判断します。例えばCVSSのレベル分けは以下のとおりです。   CVSS基本値による深刻度のレベル分け

 

※追記 2017/11/10
こちらhttps://www.leon-tec.co.jp/blog/yoshida/7689/)にて、最新バージョンのCVSS v3を用いた計算方法とスコアの見方を解説しています。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています