脆弱性とは何か?
脆弱性とは、サイバー攻撃者がセキュリティの弱点を突き、不正に機密文書へアクセスするために悪用できる欠陥のことです。これにより、攻撃者はコードを実行したり、システムにアクセスしたり、マルウェアを導入して情報の取得、削除、改変など、自分に都合の良い攻撃を行う可能性があります。
露出とは何か?
露出とは、サイバー攻撃者が貴社のセキュリティ体制を崩すために利用できるミスのことです。一見小さな欠陥に見えても、情報流出、データ侵害、個人情報の損失を引き起こす恐れがあります。個人を特定できる情報がダークウェブで売買される例もあります。実際、これまで記録された最大かつ最も深刻なデータ侵害も、偶然の露出による複合的な攻撃が原因でした。被害者が対応する十分な時間が確保できない場合が多々あります。
CVE(共通脆弱性及び露出)とは何か?
Common Vulnerabilities and Exposures (CVE)は、公開されたデータセキュリティ上の脅威のリストで、各種攻撃にさらされるシステム向けに作られました。この仕組みは、1999年にMITRE社によって開発され、システムやソフトウェアの脅威を特定し整理するために利用されています。CVEは用語集として機能し、ネットワークセキュリティの向上に寄与しています。MITREは米国政府の非営利組織です。
CVEとは、Common Vulnerabilities and Exposuresの略であり、様々な脆弱性を分類する用語集です。この用語集は脆弱性を調査した上で、共通脆弱性評価システム(CVSS)を活用し、システムが直面している脅威の度合いや発見された脆弱性の重大度を評価します。CVEスコアは、システムや組織に対する最も危険な脅威を識別するために用いられます。
CVE用語集は、クライアント向けソフトやシステムの脆弱性を特定、評価、記録するために特化して作成されました。この用語集は、米国国土安全保障省の支援を受けたMITRE社が管理しており、特定された脆弱性はセキュリティコンテンツオートメーションプロトコル(SCAP)を利用して記録されます。SCAPは各脆弱性を精査し、固有の識別子を付与します。
脆弱性が完全に特定され記録されると、公開されているMITRE用語集に反映されます。その後、これらの脆弱性はNIST(米国標準技術研究所)により、追加のリスク評価が行われ、最終的にその情報はNISTのNational Vulnerability Databaseに統合されます。
CVE用語集は、セキュリティやIT組織間での情報共有とコミュニケーションの標準を確立するために設計されました。CVE識別子は、脆弱性情報の統一フォーマットを提供することで、同業の専門家同士の連携を促進します。この情報は、脆弱性データベース、バグトラッカー、セキュリティ通知など、さまざまな組織で活用されています。
CVEに該当する条件
CVEについては理解いただいていると思いますが、すべての脆弱性がCVEとして分類されるわけではありません。CVEリストに掲載されるためには、いくつかの基準を満たす必要があります。例えば:
- 他の脆弱性やバグに依存せずに修正可能であること。修正が独立している必要があります。
- 影響を受ける側(ベンダー、組織、エンドユーザー)が脆弱性の存在を認め、その影響に関する文書化された証拠があること。十分な証拠がなければ、CVE委員会は脆弱性を認めずCVE IDを付与しません。
- 影響が1つのコードベースに限定されること。複数のコードベースに影響する場合は、CVEの適用は異なります。
CVE識別子とは何か?
すべての脅威がCVE基準に該当するわけではありません。CVE脆弱性として認識されるためには、いくつかの基準を満たす必要があります。以下の点が求められます:
脆弱性は他の脅威と混在していないこと、すなわち、評価の際に多数の要因を考慮する必要がない状態であること。
また、対象のベンダーが脆弱性を認識しており、その脆弱性がもたらすリスク、または情報漏洩の原因となる可能性が確認されていることが重要です。
さらに、その脆弱性が実際に危険であると示され、十分な証拠とともに、多くの企業に対してセキュリティ対策を無効にするリスクがあることが認められていなければなりません。
脆弱性は1つのコードベースに影響を与えるものであり、各脆弱性には個別のCVEが付与されます。もし共通のプロトコル、スタンダード、またはライブラリに起因する場合、影響を受けた各ベンダーに対して個別のCVEが付与されます。ただし、脆弱性を個別に分離することが困難な場合は例外となります。
CVE識別子の解読
脆弱性がCVSSを用いて評価されると、CVEナンバリング機関(CNA)が番号を割り当てます。CVE識別子は「CVE-{year}-{ID}」という形式で構成されます。現在、22か国に114のCNAが認定されており、セキュリティベンダー、研究機関、IT企業などが含まれています。CNAはMITREの権限の下でCVE番号を割り当てることが許可され、MITRE自体もCVE番号を付与できます。
脆弱性の情報は、研究者、ベンダー、その他のユーザーからCNAへ提供されます。また、バグ報奨プログラムを通じて新たな脆弱性が発見されることもあります。これらのプログラムは、脆弱性を直接報告したユーザーに対し大きな報奨を提供することで、情報の公開による信用低下を防ぐ仕組みとなっています。報告された脆弱性は、修正情報とともに近隣のCNAへ報告することが許されています。
CVE脆弱性が公開されると、その詳細情報、概要、対応状況などが記録されます。新たな情報や開示が行われると、記録は随時更新されます。
CVEシステムはどのように機能するか?
CVEシステムは世界中で利用され、戦略的に管理されています。MITRE社がこの仕組みの監督と運用管理を行い、資金については米国国土安全保障省の有名機関であるCISAから多くの支援が提供されています。
分かりやすさを重視し、MITRE社はサイバー問題の要点のみを提供することに努めました。記載されているのは、脆弱性が何であるかという概要のみで、技術的な詳細、影響、または対策情報は含まれていません。
詳細な情報を得るためには、NVDやCERT/CCなどの公式米国データベースを参照する必要があります。
なお、脆弱性の詳細を把握するための他のリストも存在します。CVEは脆弱性を簡潔に紹介することに特化しており、脆弱性識別のためにCVE IDが用いられます。MITRE社がリストの管理および新規エントリの更新を担当しています。
CVSS(共通脆弱性評価システム)とは何か?
CVSSは、脆弱性の影響を評価し、CVEスコアという指標でその危険度を数値化する、信頼性の高い手法のひとつです。システムの脆弱性を1~10のスケールで評価する一連の基準であり、最新バージョンはv3.1です。評価尺度は以下の通りです:
共通脆弱性評価システム
| 脅威レベル | スコア |
|---|---|
| なし | 0 |
| 低 | 0.1 – 3.9 |
| 中 | 4.0 – 6.9 |
| 高 | 7.0 – 8.9 |
| 重大 | 9.0 – 10.0 |
CVSS基準は、NVD、Oracle、IBMなどの大手企業によって採用されています。もしCVSSを使用せずに脆弱性スコアを算出する方法について知りたい場合は、NVDの評価ツールを利用することが可能です。
CVE委員会とは何か?
CVEリストの管理を担うCVE委員会は、サイバーセキュリティツールのベンダー、専門家、研究者、政府機関、学者、セキュリティの専門家、ユーザーなどで構成され、脆弱性情報データベースの拡充に貢献しています。
委員会は、情報源の提供、プロセスの管理、製品カバレッジの説明、運用体制の決定などの業務を行っています。
CVE委員会の全ての決定や議論は公式ウェブサイトで公開されており、メールや会議の記録も誰でも参照することができます。
CVEデータベース
CVEデータをまとめた様々なデータセットが存在し、新たに発見された脆弱性を把握するための情報源とされています。主な情報源は以下の通りです:
- パブリック脆弱性データベース(NVD)
NVDは2005年に設立され、多くの組織にとって主要なCVEデータセットとして機能しています。このデータセットには、影響を受けたシステムや検証可能な構成など、脆弱性に関する詳細な情報が豊富に含まれており、一般的に用いられるCVSS基準によるスコアリングも行われています。
先述の通り、CVEデータはMITREからNVDへ提供され、その後、検出された脅威のリスク評価が行われます。これらの組織は、米国国土安全保障省(DHS)の支援を受けていますが、各々独立した機関として運営されています。
- 脆弱性データベース(VULDB)
VULDBは特定の機関に依存せず、コミュニティ主導の脆弱性データベースです。このデータセットは、各脆弱性の事実、対応予定、脅威の変動性に関する有効な情報を提供し、セキュリティチームが今後のリスクに備えるための参考情報となっています。NVDとは異なる性質のデータベースです。
CVEの詳細
CVEの詳細は、NVDやExploit Databaseなど、複数の情報源から得た情報を統合した優れたデータベースです。これにより、各ベンダー、製品、脅威の種類、攻撃日時など、さまざまな観点から脆弱性を確認することができます。また、Bugtraq IDやMicrosoftの情報を含むCVE脆弱性も取り扱っています。
CVEの利点
CVEは、組織が自社システムや企業セキュリティの強度を評価するための基準を確立する手助けをします。CVEの優れた識別子により、各組織のセキュリティ対策の実力や、どの程度システムを守れているかが把握できます。
また、CVEは脅威の確認や識別に用いられるセキュリティ警告を意味し、CVEデータを活用して攻撃パターンを検出し、実際に悪用されうる脆弱性を特定することができます。未検証の脆弱性チェッカーではなく、CVE対応のセキュリティツールを採用することで、組織が直面するリスクを低減することが可能です。
CVEの制限
CVEは脆弱性に関する認識を広め、情報提供に貢献していますが、完璧なものではありません。いくつか明確な制約があります。例えば:
- 概要のみの提供
CVEは脆弱性の簡単な概要のみを提供するため、詳細な情報に基づく脆弱性管理戦略を立てるには不十分です。CVEのエントリや識別子は限定的な情報しか含まれておらず、最終的にはベンダーの助言、内部調査、さらに深い分析に依拠して対策を講じ、リスクを軽減する必要があります。
- 扱いにくい
追加情報はベンダーのウェブサイトで確認できる場合もありますが、その情報を収集するには手間と時間がかかります。情報が分散しているため、対応が遅れると攻撃者に付け入る隙を与えてしまいます。
- 利用範囲の限定
CVEが扱う脆弱性は、未パッチのシステムに関するものに限られています。従来の脆弱性管理手法では、この情報だけで十分でしたが、現代の高度な対策にはパッチ済みソフトに関する情報も必要とされます。
しかし、堅牢で実用的なセキュリティ対策を実現するには、パッチ済みと未パッチの両方の脆弱性情報を提供できなければなりませんが、CVEではその対応が困難です。
ハッカーはCVEを利用して組織を攻撃できるか?
残念ながら、狡猾なサイバー犯罪者はCVEを利用して攻撃を成功させる可能性があります。理由は、CVEリストがオープンソースで誰でも参照・利用できるためです。さらに、エントリは過去にサイバー脆弱性に対処した組織やセキュリティ専門家によって報告されたものです。
ハッカーはCVEを使い、過去にどのような攻撃が行われたかを調べ、脆弱性を探ろうと試みるかもしれません。しかし、試行錯誤に頼るため成功率は低いです。CVEを恐れるのではなく、既知の欠陥の修正、セキュリティ体制の強化、および詳細なシステム分析に注力することが重要です。そうすることで、脆弱性情報を公開してもリスクにさらされることはありません。
WallarmはどのようにCVEを活用しているか?
WallarmのエンドツーエンドのAPIセキュリティソリューションは、CVE(Common Vulnerabilities and Exposures)データベースを利用して最新の脆弱性情報を把握し、顧客を守っています。このソリューションは、基盤の脆弱性が未修正であっても、既知のCVEを利用した攻撃試行をすべて遮断するよう設計されています。さらに、行動解析などの先進技術により、新たな未知の脅威からの攻撃も識別します。新たなCVEが発見されると、即時にシグネチャがアップデートされ、ゼロデイ攻撃をクラウドネイティブアプリに対して検出・防ぐことが可能となります。さらに、Wallarmは脅威インテリジェンスとCVEデータベースを通じて脆弱性への可視性と認識を維持し、組織がCVE脆弱性に備え、守る体制を整える支援をしています。
FAQ
最新情報を購読
