共通脆弱性評価システム (CVSS)

セキュリティ専門家は、新たなサイバー脅威を常に認識するために、共通脆弱性識別子 (CVE) に関するニュースに目を光らせることがよくあります。ただし、近年では、毎年25,000件を超えるCVEがレポートされています。DevSecOpsチームは、CVEが自社のコンピューティング環境に関連していると判断した後、その脆弱性によってもたらされるリスクのレベルをどのようにして判断できるのでしょうか。そこで、共通脆弱性評価システム (CVSS) が役立ちます。CVSSは、セキュリティ脆弱性の重大度を計算するための標準化された方法です。この標準に従って作業することで、セキュリティ専門家は、脆弱性を比較して潜在的な脅威への対応に優先順位を付け、最も重大度の高い脆弱性が最初に対処されるようにすることができます。この記事では、CVSSとは何か、つまり、CVSSの由来、そのスコアの解釈方法、およびサイバーセキュリティ戦略への適合性について詳しく説明します。早速詳細を見てみましょう。

CVSSとは

CVSSとは、セキュリティ脆弱性の重大度を評価し、伝達するためにグローバルに使用されるフレームワークです。この標準化は、異なるシステムや組織間で共通の脆弱性評価を可能にするため、価値があります。CVSSは、Forum of Incident Response and Security Teams (FIRST) が所有および管理しています。CVSSの最初のバージョンは、2005年に、米国家インフラストラクチャ諮問委員会 (NIAC) のプロジェクトとして開始しました。CVSS v3.1は2019年から使用され、CVSS v4は2023年11月に正式にリリースされました。CVSSの詳細に入る前に、このシステムに関する議論でよく使用されるいくつかの重要な用語について説明しましょう。

• 共通脆弱性評価システム：セキュリティ脆弱性の重大度を評価するための標準化されたフレームワーク。
• 共通脆弱性識別子データベース：これは、MITRE Corporationが管理する既知のセキュリティ脆弱性のデータベースです。CVEデータベースにリストされている各脆弱性には一意の識別子が付与されるため、特定の脆弱性に関する情報を簡単に共有できます。
• National Vulnerability Database (NVD)：この米国政府のデータベースには、CVEデータベースにリストされているすべての脆弱性が含まれています。これらの脆弱性は、CVSS重大度スコアリングなどの追加情報によって強化されます。

これらの用語は、サイバーセキュリティリスクの特定と管理のプロセスにおいて相互に関連しています：CVSSはスコアリングフレームワークを提供し、CVEデータベースは既知の脆弱性の標準化されたリストを提供して、NVDは追加の分析とコンテキストでこの情報を補強します。これらを組み合わせることで、サイバーセキュリティの脆弱性を理解し、対処するための包括的なアプローチが形成されます。

CVSSにおけるメトリックグループの概要

CVSSフレームワークは、ベース、テンポラル、環境という3つの異なるメトリックグループで構成されています。メトリックグループは、脆弱性のさまざまな側面を分類して、重大度を評価する際の明確性を高めるために役立ちます。各メトリックグループは、脆弱性の全体的な重大度スコアを決定する際に独自の役割を果たします。ベースグループメトリックは、「経時的にユーザー環境間で一定である脆弱性の本質的な性質」を評価します。ここでは、次のような側面に焦点が当てられます。

• 脆弱性がどのように悪用されるか
• エクスプロイトの複雑さ
• 脆弱性を悪用するために必要なアクセスのレベル
• 脆弱性が機密性、整合性、可用性に与える影響

このベーススコアは時間が経過しても変化しません。これは、脆弱性が最初からどの程度深刻であるかを示すスナップショットのように機能します。NVDには、リストされている各CVEのベーススコアが含まれています。テンポラルグループメトリックは、脆弱性について経時的に変化する内容に焦点を当てます。ここでは次のような問いを考慮します。

• 誰かがその脆弱性に対する修正を作成しましたか？
• 悪意のある攻撃者がこの脆弱性を悪用しやすくするために利用可能な新しいツールはありますか？

新しい情報が入って条件が変わると、テンポラルメトリックは変動する可能性があります。環境グループメトリックは、ユーザー環境の具体的な特性のうち、脆弱性が及ぼす影響に影響を与える可能性のあるものに焦点を当てます。ここでは、組織に及ぼす損失の可能性や、ユーザーの環境での脆弱なシステムの普及などの要因が考慮されます。例えば、脆弱性が深刻化するような方法でシステムが設定されている場合や、エクスプロイトのリスクを軽減するためにセキュリティを強化している場合などです。このスコアは、特定の状況に合わせて調整され、異なる環境間で大きく異なる場合があります。これらのメトリックグループを理解することは、特定の環境について脆弱性の重大度を正確に評価するための鍵となります。各グループの影響を受けて決定された最終スコアは、組織がさまざまな脅威への対応に優先順位を付ける際の指針となります。

CVSSにおけるスコアリングスケールの概要

CVSSスコアリングスケールは、0から10の範囲で脆弱性の重大度を示します。スコアが高いほど、早急な対応が必要な重大度の高い脆弱性であることを示し、スコアが低いほど、問題の重大性が低いことを示します。このスコアリングスケールが何を表し、現実世界のシナリオでどのように適用されるかを詳しく見ていきましょう。

• 重大度「低」（0～3.9）：多くの場合、悪用するには特定の条件が必要であり、リスクは最小限です。スコアが2.0の脆弱性を例に挙げると、悪用するには高レベルの特権を必要とする、影響の少ない情報漏洩に関する欠陥が考えられます。
• 重大度「中」（4.0～6.9）：より一般的で、比較的簡単に悪用されますが、通常は深刻な結果にはつながりません。例えば、スコア5.5は、より簡単に悪用される可能性はあるものの、システム全体が侵害されることのない、クロスサイトスクリプティングの問題に与えられる場合があります。
• 重大度「高」（7.0～8.9）：重大な脅威であり、多くの場合、影響を受けるシステムに対する不正アクセスまたは制御が可能になります。
• 重大度「重大」（9.0～10）：最も危険な脆弱性です。通常、この種の脆弱性は広範な悪用が可能であり、データ損失、システムのダウンタイム、システムの完全な乗っ取りなどの深刻な影響を引き起こす可能性があります。例えば、広範囲にわたるランサムウェアエクスプロイトには、スコア9.5が与えられる場合があります。

スコアの各範囲が何を表しているかを把握し、実際の脆弱性にスコアがどのように適用されるかの例を確認することで、専門家は、サイバーセキュリティ戦略についてより多くの情報に基づいた意思決定を行うことができます。フレームワークに基づいてCVSSスコアを計算するために、NVD CalculatorやCVSS Calculator from FIRSTなど、さまざまなツールが利用可能です。一部のサイバーセキュリティ企業からも、CVSSスコア計算用の独自のツールが提供されています。これらのツールでは、多くの場合、ユーザーが脆弱性に関する具体的な詳細を入力してテンポラルスコアと環境スコアを評価でき、その後、それらのスコアがベーススコアと組み合わされて、特定のユーザーのための正確なCVSSスコアが生成されます。

脆弱性スコアリングを使用してリスクを管理する方法

CVSSv4スコアに詳細が含まれていても、対象のシステムに関する環境の詳細によっては、類似したスコアを持つ2つの脆弱性の間での影響の違いを考慮することになる場合があります。この追加情報が利用可能になったときに使用を開始するために、どのような準備ができるでしょうか。まず、脆弱性管理戦略を検討することから開始します。次に、開始するためのヒントをいくつか示します。

• 新しいデータが利用可能になったときに、そのデータを使用して特定の環境への影響をより適切に把握できるように、アセットと攻撃対象領域（保護しているシステムとアプリケーション）のインベントリーを作成します。
• 好むと好まざるとにかかわらず、いつか必ず、優先度が競合し、どこに時間をかけるかについて難しい判断が必要になります。これに備えるには、システムのインベントリーを確認し、どの領域のリスクが高いか、または少ないかを検討します。重要度が最も高い、および最も低いアセットはどれでしょうか。どのアセットが攻撃に対するエクスポージャーが最も大きく、どのアセットがその他の補完的なコントロールによって最も保護されているでしょうか。
• クラウドストライクでは、2つの「同等スコア」の脆弱性を相互に比較し、これらに優先順位を付けるよりも適切な方法として、お客様にExPRT.AIモデルを強くお勧めします。当社のAIモデル、CVSSv4スコア、またはその他のメカニズムのどれを使用しているかにかかわらず、脆弱性に対応するための計画を策定してください。この計画には、リスクレベル、潜在的な影響、一般的な緩和戦略（パッチ適用、補完的なコントロール、さらには重要でないシステムの無効化など）に関する詳細が含まれている必要があり、この計画を定期的にレビューする期間を設定します。ソフトウェアのエコシステムは、環境と同様に常に変化しています。強力な計画を策定して備えることにより、攻撃者との戦いで最大限に躍進することができます。

CVSSv3.1とCVSSv4の違いとは

CVSSv3.1には、評価システムの有用性を高めるために対処が必要ないくつかのギャップがあります。これらは、現在有効になっている4.0バージョンで対処されていますが、リスクの理解に関してまだ改善の余地があります。最も顕著な改善点は、CVSSv3.1では、追加のシステムに対する脆弱性の影響が考慮されていなかったのに対し、CVSSv4では、後続システムへの影響に関する一連のメトリックが追加されたことです。さらに、CVSSv4には、脆弱性について追加のコンテキストを提供できる新しい非スコアリングメトリック（補足メトリックと呼ばれる）のグループも含まれ、このコンテキストは、エンドユーザーがスコアを独自の環境に関連付ける際に役立ちます。

後続システム

後続システムとは、それ自体は脆弱なシステムではないものの、脆弱性の悪用の影響を受ける可能性のあるあらゆるシステムのことです。これを説明するために、例を考えてみましょう：Webサーバーで実行中のあるサイトで、ユーザーのログイン、支払い、アカウントデータの表示が許可されているとします。Webサイト上のクロスサイトスクリプティング (XSS) の脆弱性は、サイト/サーバー上の脆弱性と見なされます。後続システムは、ユーザーのマシンやそのWebブラウザなどになります。脆弱性はWebサーバーに存在しますが、悪用が成功すると、攻撃者はユーザーのシステム上の豊富な情報にアクセスでき、さらには、ユーザーが知らないうちにシステム上でコマンドを実行できる可能性もあります。この例の場合、「後続システムへの影響」とは、エンドユーザーのWebブラウザからさらに個人情報が漏洩する、または、もっと悪いことには、マシンがインターネットを経由したさらなる攻撃のホストにされる可能性があることを意味します。CVSSv4の新しい分類メトリックを適用すると、この例の脆弱性は、後続システムへの影響が関与しない別の脆弱性よりもスコアが高くなります。新しい評価システムでは、脆弱性が最初に悪用された時点からダウンストリームへの影響を考慮することで、脆弱性の潜在的な影響を、より現実的な観点で反映することを試みています。

補足メトリック

補足メトリックは、3.1バージョンからCVSSv4に追加された非スコアリングメトリックです。これらの追加的な詳細は、脆弱性のレビュー担当者が、独自の環境に潜在的な影響がどの程度関連しているかを把握しようとするときに、情報源として役立つ可能性があります。ここでのデータは、自動化可能性、脆弱性の対応作業、プロバイダーの緊急性などのメトリックに役立ちますが、これらのメトリックやその他のメトリックは情報としてのみ含まれ、脆弱性の全体的なスコアリングには影響を及ぼしません。これらをスコアリングしないことは、プロバイダーの緊急性など、一部のケースでは明らかです。あるソフトウェアベンダーの観点からは緊急性が高くても、別のソフトウェアベンダーにとっては緊急性があるとは見なされない可能性があります。ベンダーが自社のすべてのCVEの緊急性を低く設定し、出力スコアを下げることを許可された場合、これは、ベンダーがシステムを操作する動機になることがあります。このデータを利用可能にする意図は、エンドユーザーが、自分の環境に関連する可能性のあるその他の要因をより適切に把握できるようにすることです。したがって、CVE間の最適な比較を維持するために、これらの補足メトリックは、CVSSv4計算からの出力スコアに反映されません。

CVSSv4の利点とは

CVSSv4の最も明らかな利点は、環境への影響、後続システム、および緩和策に役立つ情報に関するメトリックを拡張することで、特定の脆弱性についてより詳細なスコアを提供できるようになることです。これらはすべて、脆弱性管理コミュニティ内の大部分から歓迎すべき追加として見なされていました。クラウドストライクは、影響とリスクに基づく脆弱性スコアの必要性をすでに認識していたため、独自のExPRT.AI評価を開発しました。この評価は脆弱性が悪用される可能性を予測することに重点を置き、これには、（脆弱なアプリケーションの）ベンダー自身による報告に頼らない、独自の攻撃者インテリジェンスデータなどの要素の組み合わせが含まれています。このエクスプロイトの測定は、CVSSプロセス全般でまだ詳細が不足している領域の1つですが、補足メトリックおよび追加基準は、エンドユーザーが自分の環境に存在する脆弱性の相対的なリスクを把握するのに役立つ領域に均一性と明確性をもたらすうえで、歓迎すべき追加です。

CVSSv4の導入時期

脆弱性に関して、信頼性が高く、ベンダーに依存しない情報源がいくつかあります。コミュニティ内の大部分は、CVEに関する情報のプロバイダーとしてNIST National Vulnerability Database (NVD) に注目しています。現時点では、NVDはCVSSv4スコアの公開を開始していませんが、クラウドストライクは、2024年に導入が開始されたときに、この情報を組み込む予定です。一部のCVECVSSv3またはv3.1のスコアを遡ると、新しい脆弱性への対処方法を計画する際に一部のユーザーが必要とする、貴重な歴史的背景を提供するのに役立つ場合があります。4.0がの導入が進んでも、NVDはCVSSv3.1スコアの公開を継続する可能性が高いと考えられます。

サイバーセキュリティ慣行へのCVSSの統合

CVSSを熟知することで、セキュリティ専門家は、サイバーセキュリティ戦略に大きな影響を与える基盤を築くことができます。この知識は、セキュリティの脆弱性に優先順位を付け、効果的に対処するために不可欠です。ただし、CVSSスコアだけで組織に対する脆弱性の脅威を包括的に把握できるわけではないことに留意することが重要です。この重要なデータは、脅威インテリジェンスおよびコンテキストと組み合わせる必要があります。そのため、CrowdStrike Falcon® Exposure ManagementやCrowdStrike Falcon® Spotlightなどのツールが不可欠となります。Falcon Spotlightは、脆弱性管理にインサイトを追加し、パフォーマンスに影響を与えることなく、システムを安全に保つための迅速、正確、かつ実用的な情報を提供します。Falcon Exposure Managementは、これに基づいて弱点や脆弱性へのエクスポージャーに対する深いインサイトをもたらし、リアルタイムデータに基づいてより適切にリスクを特定し、優先順位付けすることを可能にします。CVSSの標準化されたデータをCrowdStrike Falcon®プラットフォームの高度な機能と組み合わせることで、よりレジリエンスと対応性の高いサイバーセキュリティポスチャを構築することができます。Falconプラットフォームの詳細については、無料でお試しいただくか、今すぐ専門家チームにお問い合わせください。