Hitach Incident Response Team

 CVSS(Common Vulnerability Scoring System)は、脆弱性そのものの特性を評価する基本評価基準、脆弱性の現在の深刻度を評価する現状評価基準、ユーザーの利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準から脆弱性を評価する手法です。今回は、環境評価基準におけるCVSS v2とv3の違いを紹介します。

 CVSS v2では、攻撃対象となるホストやシステムにおいての『脆弱性による深刻度』を評価していました。CVSS v3では、仮想化やサンドボックス化などが進んできた状況に合わせて、コンポーネント単位で評価する仕様となっています。この仕様変更は、環境評価基準に2つの違いとなって現れてきています。

システムへの影響を評価する項目の削除
 CVSS v2の環境評価基準で「システムへの影響」を評価する項目であった二次的被害の可能性(CD: Collateral Damage Potential)、影響を受ける対象システムの範囲(TD: Target Distribution)が削除されました(図1の緑色のボックス)。

基本評価基準の再評価
 CVSS v3の環境評価基準では、緩和策や対策後の利用環境の実状に合わせて、基本評価基準である「攻撃の難易度」、「攻撃による影響」、「影響の広がり」を再評価することになりました(図1の青色のボックス)。

[画像のクリックで拡大表示]
図1●CVSS v3における環境評価値の算出の流れ

 また、環境評価基準の改訂によって、脆弱性のあるコンポーネントの対策前後の深刻度を数値化できるようになりました。例えば、対策前に「攻撃元区分=ネットワーク」と評価された脆弱性のあるアプリケーションを想定します。ここで、ファイアウォールによるアクセス制限を掛け、脆弱性のあるアプリケーションには隣接ネットワークからしかアクセス(攻撃)できない環境を緩和策とします。緩和策では「攻撃元区分=隣接ネットワーク」となるため、評価値は、対策前=7.5、対策後=6.5と算出することになります(図2)。

図2●脆弱性のあるコンポーネントの対策前後の深刻度数値化

 ここからは、8月9日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら