ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について
※本資料は新版を公開しております。 こちらからご参照ください。
最終更新日 2007年8月20日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ソフトウェア等におけるセキュリティ上の弱点(脆弱性)の深刻度をCVSS基本値を用い評価する試行を開始しました。
脆弱性の深刻度評価は、「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、製品利用者やSI事業者の脆弱性関連情報の分析・適用を支援するため開始しました。
現在、公表済みの脆弱性関連情報約140件について深刻度を公表しています。また、今後公表する脆弱性関連情報には、その都度深刻度もあわせて公表いたします。
1.ソフトウェア等におけるセキュリティ上の弱点(脆弱性)の深刻度について
脆弱性の深刻度は、FIRST(Forum of Incident Response and Security Teams)の場で適用推進や仕様改善が行われている、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を適用しています。
CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通的な評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の枠組みで議論できるようになります。
CVSSでは脆弱性を、脆弱性そのものの特性を評価する「基本評価基準(Base Metrics)」、現在の深刻度を評価する「現状評価基準(Temporal Metrics)」、製品利用者の最終的な深刻度を評価する「環境評価基準(Environmental Metrics)」の3つの基準で評価します。基本評価基準と現状評価基準はベンダーや脆弱性を公表する組織が評価する基準、環境評価基準は製品利用者自身が評価する基準となっています。
IPAでは、ソフトウェア等におけるセキュリティ上の弱点(脆弱性)の深刻度を、CVSS基本評価基準を用い評価し、CVSS基本値を算出し、公表する試行を開始しました。現在、公表済みの脆弱性関連情報約140件について深刻度を公表しています。製品利用者やSI事業者が脆弱性への対応を検討する際や、製品開発者が開発段階からセキュリティ品質を作り込む際の一助となれば幸いです。
CVSSの概説は次のURLを参照下さい。2.CVSS基本値による深刻度のレベル分けについて
CVSS基本値を基に、次の深刻度に分けて表示します。これは、NIST(National Institute of Standards and Technology)のNVD Common Vulnerability Scoring System Supportのレベル分けを参考にしています。
| 深刻度 | CVSS基本値 | 脆弱性に対して想定される脅威 |
|---|---|---|
| レベルIII (危険) |
7.0〜10.0 | ・リモートからシステムを完全に制御されるような脅威 ・大部分のデータを改ざんされるような脅威 ・例えば、OSコマンド・インジェクション、SQLインジェクション、バッファオーバフローによる任意の命令実行など |
| レベルII (警告) |
4.0〜6.9 | ・重要な情報が漏洩するような脅威 ・サービス停止に繋がるような脅威 ・例えば、アクセス制御の回避、全てのシステムが停止するようなサービス運用妨害(DoS)など ・その他、レベルIIIに該当するが再現性が低いもの |
| レベルI (注意) |
0.0〜3.9 | ・システムの一部に被害が発生するような脅威 ・攻撃するために複雑な条件を必要とする脅威 ・例えば、クロスサイト・スクリプティング、ディレクトリ・トラバーサルによる一部の情報漏えい、一部のシステムが停止するようなサービス運用妨害(DoS)など ・その他、レベルIIに該当するが再現性が低いもの |
3.深刻度の公表形式
次の形式で脆弱性の深刻度を公表します。
本脆弱性の深刻度:(公表例)
(1)評価結果
| 本脆弱性の深刻度 | □ I(注意) | ■ II(警告) | □ III(危険) |
|---|---|---|---|
| 本脆弱性のCVSS基本値 | 4.7 |
(2)CVSS基本値の評価内容
| AV:攻撃元区分 | □ ローカル | ■ リモート | ||
|---|---|---|---|---|
| AC:攻撃条件の複雑さ | □ 高 | ■ 低 | ||
| Au:攻撃前の認証要否 | □ 必要 | ■ 不要 | ||
| C:機密性への影響 (情報漏えいの可能性) |
□なし | ■ 部分的 | □ 全面的 | |
| I:完全性への影響 (情報改ざんの可能性) |
□ なし | ■ 部分的 | □ 全面的 | |
| A:可用性への影響 (業務停止の可能性) |
■ なし | □ 部分的 | □ 全面的 | |
| B:項目C、I、Aの重み | ■ 同等 | □ (C) | □ (I) | □ (A) |
- ■:選択した評価結果
- AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact, B:ImpactBias
(3)注意事項
深刻度が低くても、対策をしなくてよいということではありません。本ソフトウェアの利用者は必ず脆弱性対策を実施して下さい。
4.備考
CVSS基本値は、脆弱性そのものの特性を同一の基準の下で数値化したものです。実際に各組織の脆弱性への対応は、CVSS基本値に加え、攻撃コードの出現有無、対策情報の適用可否、各組織での対象製品の利用範囲や攻撃を受けた場合の被害の大きさなども加味して、製品利用者自身が総合的な評価を行う必要があります。
例えば、本評価結果が「レベルII(警告)」であっても、「当該脆弱性への攻撃が成功すると壊滅的な被害が発生する可能性がある。」と製品利用者自身が判断した場合、深刻度は「レベルIII(危険)」へ上がります。 また、深刻度が「レベルI(注意)」であっても、「レベルII(警告)」へ上がります。
CVSS基本値は、製品利用者自身が脆弱性への対応を決める際の、共通の枠組み(基準)としてご活用下さい。
5.問合せ先
CVSS基本値の試行について、今後の検討の参考とするため、皆様からのご意見等を歓迎します。
独立行政法人 情報処理推進機構
セキュリティセンター 情報セキュリティ技術ラボラトリー
E-mail:
更新履歴
| 2007年8月20日 | 新版へのリンクを掲載 |
|---|---|
| 2007年3月28日 | 深刻度の公表範囲を公表済みの約140件に拡大 |
| 2007年3月8日 | 深刻度の公表範囲を2006年4月以降の85件に拡大 |
| 2007年2月22日 | 掲載。2006年10月以降の約40件の深刻度を公表 |