- 2014年4月22日
- WordPress脆弱性情報
CVSSスコアの解説「セキュリティ診断結果の見方」
WordPressに限らず、ソフトウェアにはセキュリティが求められます。そして、ソフトウェアがどの程度安全か(もしくは危険か)を判断するために、「セキュリティ診断」という行為が存在します。 ただ、セキュリティ診断を行ってもその正しい見方を知らなければ、診断の意味はありません。例えば診断を行った結果、「脆弱性が有ります」と言われても、それがどの程度の脆弱性で、どの程度緊急で対応しなければいけないのか、そういったことがわからなければ対策を打つことが難しくなります。
では、セキュリティ脆弱性の程度を測るためのものさしはあるのでしょうか。実は色々なものが存在します。その中でも代表的なものさしである、CVSS基本値スコアについてご紹介します。 CVSS基本値スコアは、正式名を共通脆弱性評価システム( Common Vulnerability Scoring System)と言い、元々はアメリカの国家インフラストラクチャ諮問委員会、という組織のプロジェクトが出自です。
”共通脆弱性評価システム概説”(IPA) CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
CVSSの評価基準は大項目で3、詳細項目で14項目の評価基準が有ります。 Ⅰ基本評価基準
- 攻撃元区分
- 攻撃条件の複雑さ
- 攻撃前の認証要否
- 機密性への影響
- 完全性への影響
- 可用性への影響
Ⅱ現状評価基準
- 攻撃される可能性
- 利用可能な対策のレベル
- 脆弱性情報の信頼性
Ⅲ環境評価基準
- 二次的被害の可能性
- 影響を受ける対象システムの範囲
- 機密性の要求度
- 完全性の要求度
- 可用性の要求度
そして、これらの項目に付けられたスコアを基に、CVSS基本値、CVSS現状値、CVSS環境値の3つのスコアを算出します。これらのスコアの多寡により、深刻度を判断します。例えばCVSSのレベル分けは以下のとおりです。 CVSS基本値による深刻度のレベル分け
深刻度 | CVSS基本値 | 脆弱性に対して想定される脅威 |
---|---|---|
レベルIII (危険) | 7.0~10.0 | ・リモートからシステムを完全に制御されるような脅威 ・大部分の情報が漏えいするような脅威 ・大部分の情報が改ざんされるような脅威 ・例えば、全てのシステムが停止するようなサービス運用妨害(DoS)、OSコマンド・インジェクション、SQLインジェクション、バッファオーバフローによる任意の命令実行など |
レベルII (警告) | 4.0~6.9 | ・一部の情報が漏えいするような脅威 ・一部の情報が改ざんされるような脅威 ・サービス停止に繋がるような脅威 ・例えば、クロスサイト・スクリプティング、一部の情報が漏えいするようなディレクトリ・トラバーサル、一部のシステムが停止するようなサービス運用妨害(DoS)など ・その他、レベルIIIに該当するが再現性が低いもの |
レベルI (注意) | 0.0~3.9 | ・攻撃するために複雑な条件を必要とする脅威 ・その他、レベルIIに該当するが再現性が低いもの |
注)CVSS基本値は、脆弱性そのものの特性を同一の基準の下で数値化したものです。各組織の脆弱性への対応は、CVSS基本値に加え、CVSS現状値 (攻撃コードの出現有無、対策情報の運用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)を 加味して、製品利用者自身が総合的な評価を行う必要があります |
※追記 2017/11/10
こちら(https://www.leon-tec.co.jp/blog/yoshida/7689/)にて、最新バージョンのCVSS v3を用いた計算方法とスコアの見方を解説しています。