CVSS に関するメモ 3

先日 CVSS（Common Vulnerability Scoring System；共通脆弱性評価システム）のバージョン3がリリースされ IPA でも記事が登場した。

「その2」の記事を書いたのが2007年なので，実に8年ぶり？である。

バージョン2からの大きな違いは深刻度をコンポーネント単位で評価できるようになったことだろう。以前は攻撃対象となるシステムやホストマシンが対象だったので，更に細かい評価ができるようになったと言える。

これに合わせて「スコープ（Scope）」という評価軸が追加された。厳密には「管理権限の範囲（Authorization Scope）」。脆弱性のあるコンポーネントが他のコンポーネントに影響をおよぼす場合に，「他のコンポーネント」が管理権限の範囲の内側か外側かで深刻度が異なる。脆弱性が管理権限の範囲の外側に影響を及ぼす具体例としてはクロスサイトスクリプティング（XSS）脆弱性などが挙げられるだろう。

基本評価基準（Base Metrics）で新たに追加された評価項目としては

必要な特権レベル（Privileges Required）
ユーザ関与レベル（User Interaction）
スコープ（Scope）

がある。一方，バージョン2にあった「攻撃前の認証要否（Authentication）」項目は廃止され，「必要な特権レベル」に含まれる形になった。

一番大きく変わったのは環境評価基準（Environmental Metrics）だろう。環境評価基準では対策後の状況を再評価し，評価が低いものについては再度対策を行えるようになっている。 CVSS を使ってセキュリティ対策のプロセスをきちんと回せるようになったわけだ。

再評価の観点は以下のとおり。

緩和策後の攻撃元区分（Modified Attack Vector）
緩和策後の攻撃条件の複雑さ（Modified Attack Complexity）
緩和策後の必要な特権レベル（Modified Privileges Required）
緩和策後のユーザ関与レベル（Modified User Interaction）
緩和策後のスコープ（Modified Scope）
緩和策後の機密性への影響（Modified Confidentiality Impact）
緩和策後の完全性への影響（Modified Integrity Impact）
緩和策後の可用性への影響（Modified Availability Impact）

つか基本評価基準（Base Metrics）の評価観点で再評価するって感じかな。

最近の「セキュリティ対策」がこれまでと異なっているのは，目の前の脆弱性に対処すれば「完了」とはならない点である。（私は今までもずうっと言ってきているけど）セキュリティは「ハザード（hazard）」ではなく「リスク（risk）」で考えなければならない。リスクをゼロにするには無限のリソース（人的資源やもっと端的にお金）が必要だが，私たちの持っているリソースは無限ではない。つまりリスクをゼロにすることはできないのだ。したがって，業務プロセスの中で改善を行いながら，最適解を探っていくしかない。

「セキュリティ対策」をコストと考えるなら，これは果てしなく不毛な話になるが，「セキュリティ対策」を投資と考え，きちんと PDCA サイクルを回していくならば，それほど不毛な話ではないはずである。

ところで，今回もデモページを作った。