Baldanders.info

CVSS に関するメモ 3

先日 CVSS(Common Vulnerability Scoring System; 共通脆弱性評価システム)のバージョン3がリリースされ IPA でも記事が登場した。

その2」の記事を書いたのが2007年なので,実に8年ぶり? である。

バージョン2からの大きな違いは深刻度をコンポーネント単位で評価できるようになったことだろう。 以前は攻撃対象となるシステムやホストマシンが対象だったので,更に細かい評価ができるようになったと言える。

これに合わせて「スコープ(Scope)」という評価軸が追加された。 厳密には「管理権限の範囲(Authorization Scope)」。 脆弱性のあるコンポーネントが他のコンポーネントに影響をおよぼす場合に,「他のコンポーネント」が管理権限の範囲の内側か外側かで深刻度が異なる。 脆弱性が管理権限の範囲の外側に影響を及ぼす具体例としてはクロスサイトスクリプティング(XSS)脆弱性などが挙げられるだろう。

基本評価基準(Base Metrics)で新たに追加された評価項目としては

  • 必要な特権レベル(Privileges Required)
  • ユーザ関与レベル(User Interaction)
  • スコープ(Scope)

がある。 一方,バージョン2にあった「攻撃前の認証要否(Authentication)」項目は廃止され,「必要な特権レベル」に含まれる形になった。

一番大きく変わったのは環境評価基準(Environmental Metrics)だろう。 環境評価基準では対策後の状況を再評価し,評価が低いものについては再度対策を行えるようになっている。 CVSS を使ってセキュリティ対策のプロセスをきちんと回せるようになったわけだ。

再評価の観点は以下のとおり。

  • 緩和策後の攻撃元区分(Modified Attack Vector)
  • 緩和策後の攻撃条件の複雑さ(Modified Attack Complexity)
  • 緩和策後の必要な特権レベル(Modified Privileges Required)
  • 緩和策後のユーザ関与レベル(Modified User Interaction)
  • 緩和策後のスコープ(Modified Scope)
  • 緩和策後の機密性への影響(Modified Confidentiality Impact)
  • 緩和策後の完全性への影響(Modified Integrity Impact)
  • 緩和策後の可用性への影響(Modified Availability Impact)

つか基本評価基準(Base Metrics)の評価観点で再評価するって感じかな。

最近の「セキュリティ対策」がこれまでと異なっているのは,目の前の脆弱性に対処すれば「完了」とはならない点である。 (私は今までもずうっと言ってきているけど)セキュリティは「ハザード(hazard)」ではなく「リスク(risk)」で考えなければならない。 リスクをゼロにするには無限のリソース(人的資源やもっと端的にお金)が必要だが,私たちの持っているリソースは無限ではない。 つまりリスクをゼロにすることはできないのだ。 したがって,業務プロセスの中で改善を行いながら,最適解を探っていくしかない。

「セキュリティ対策」をコストと考えるなら,これは果てしなく不毛な話になるが,「セキュリティ対策」を投資と考え,きちんと PDCA サイクルを回していくならば,それほど不毛な話ではないはずである。

ところで,今回もデモページを作った。

CVSS v2 の JavaScript と HTML をちょろんと手直しして済ます手もあったが,「どうせなら node.js でも使えるようにしよう」と色気を出したために,週末まるまる使ってハマりまくってしまった。

おかげで現状評価基準(Temporal Metrics)と環境評価基準(Environmental Metrics)には手を付けてない。 これはおいおいやる予定。 なんだけど,時間が取れるかなぁ。

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

暗号の秘密とウソ 新版暗号技術入門 秘密の国のアリス チャイナ・ハッカーズ 暗号解読―ロゼッタストーンから量子暗号まで 宇宙創成〈上〉 (新潮文庫)

日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。

reviewed by Spiegel on 2014/09/14 (powered by G-Tools)

photo
環境リスク学
中西準子
日本評論社 2013-08-01
評価

食のリスク学 黒い迷宮 ルーシー・ブラックマン事件15年目の真実 (早川書房) 「ゼロリスク社会」の罠~「怖い」が判断を狂わせる~ 逆流するグローバリズム ギリシャ崩壊、揺らぐ世界秩序 (PHP新書) 基準値のからくり 安全はこうして数字になった (ブルーバックス)

主題は「環境リスク」だが,あらゆるリスクについて応用可能な名著。

reviewed by Spiegel on 2015/07/26 (powered by G-Tools)