こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
やや古くなってしまいましたが、2019年の6月にCVSS 3.1がリリースされました。既に脆弱性情報(CVE)に紐付いて、Red Hat等からはCVSS 3.1での情報も出てきていますので、こちらでCVSS v3.1 Specificationの拙訳を行いたいと思います。用語に関しては、共通脆弱性評価システムCVSS v3概説 (IPA)も参考にさせていただいてます。
Common Vulnerability Scoring System v3.1: Specification Document
オリジナル原文:CVSS v3.1 Specification Document (FIRST)
Common Vulnerability Scoring System(CVSS)は、ソフトウェア脆弱性の性質と重大性を共有するためのオープンフレームワークです。 CVSSは、Base(基本評価基準), Temporal(現状評価基準), Environment(環境評価基準)の3つのメトリックグループで構成されます。 Baseのグループは、時間とともにユーザー環境全体で変化しない本質的な脆弱性の性質を表し、Temporalグループは時間に伴い変化する脆弱性の性質を反映し、Environmentalグループはユーザーの固有の環境での脆弱性の特性を表します。Baseメトリックは、Temporal及びEnvironmentメトリックのスコアにより変更される、0から10の範囲のスコアを生成します。CVSSスコアはまた、スコアを導出するために使用される値による圧縮テキスト表現であるベクトル文字列としても表されます。このドキュメントでは、CVSSバージョン3.1の公式仕様を提供します。
最新のCVSSリソースはhttps://www.first.org/cvss/で見る事ができます。
CVSSは、米国を拠点とする非営利組織であるFIRST.Org、Inc.(FIRST)が所有および管理しており、その使命は世界中のコンピューターセキュリティインシデント対応チームを支援することです。FIRSTは、CVSSおよびこのドキュメントを定期的に更新する権利を保有しています。FIRSTはCVSSのすべての権利と利益を所有していますが、以下の条件に従って、CVSSを自由に使用できるように公開しています。CVSSを使用または実装するために、FIRSTのメンバーシップは必要ありませんが、FIRSTはCVSSを使用する個人または団体が適切な帰属を提供することを要求します。該当する場合、CVSSはFIRSTが所有し許可を得て使用します。さらにFIRSTの使用条件としては、スコアを発行する個人または組織がこのドキュメントで説明するガイドラインに準拠し、スコアとスコアベクトルの両方を提供して、他のユーザーがスコアの導出方法を理解できるようにすることを要求しています。
1. Introduction
共通脆弱性評価システム CVSS(Common Vulnerability Scoring System) はソフトウェア、ハードウェア、ファームウェアの脆弱性の技術的な特徴を捕らえる原則となります。このアウトプットには、他の脆弱性と関係する、脆弱性の脅威度を数値化したスコアを含んでいます。
CVSSは3つのメトリックグループ: 基本評価基準(Base), 現状評価基準(Temporal), 環境評価基準(Environmental)から構成されています。基本評価基準値(Base Score)は時間が経過しても一定であり、異なるデプロイ環境全体で合理的な最悪のケースを仮定した際の、固有の特性に従って脆弱性の重大度を反映します。現状評価基準メトリックス(Temporal Metrix)は、エクスプロイットコードの可用性など、時間と共に変化する原因に基づいて、脆弱性の基本評価基準の深刻度(Base Severity)を調整します。環境評価基準 メトリックス(Environmental Metrics)は、BaseとTemporalの深刻度を特定のコンピューティング環境に合わせて調整します。これらには、その環境に合わせた緩和策の存在などのファクターを考慮します。
基本評価基準値(Base Score)は通常、脆弱性のある製品を保守している組織、またはサードパーティが彼らに代わり採点することによって作成されます。 これは時間の経過とともに変化せず、すべての環境に共通であるため、ベースメトリックのみが公開されるのが一般的です。CVSSの使用者は、脆弱性のある製品の使用に、組織の環境により正確な重大度が提供される固有の現状評価基準値及び環境評価基準値で基本評価基準値を補足します。使用者は、組織の脆弱性管理プロセスへの入力としてCVSS情報を使用する場合があります。このプロセスは、CVSSの一部ではない要因も考慮して、テクノロジーインフラストラクチャへの脅威をランク付けし、情報に基づいた修復の決定を行います。このような要因には、製品ラインの顧客数、違反による金銭的損失、生命または財産の脅威、またはより公表されている脆弱性に対する世論が含まれます。 これらはCVSSの範囲外です。
CVSSの利点には、標準化されたベンダーやプラットフォームにとらわれない、脆弱性スコアリング手法の提供が含まれます。これはオープンなフレームワークであり、スコアの導出に使用される個々の特性と方法論に透明性を提供します。
1.1. メトリックス
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。