昨今、多くの業種業界でサイバーセキュリティに関する事件・事故が多発しています。これらの多くは、Webシステムやソフトウェアなどに内在する脆弱性に起因しており、企業は脆弱性対策を監督官庁や顧客および取引先より求められるケースが増えています。
これまで脆弱性情報を扱ったことはないものの、経営層から「脆弱性対策を早急に実施せよ!」と指示を受けた情シス部門やセキュリティチームの方々も多いのではないでしょうか。本記事では、脆弱性情報の基礎から、実務において知っておくべき事項までを解説します。
脆弱性情報とは?
脆弱性とは、セキュリティ上に欠陥があり、システムの安全性が損なわれている状態のことです。米国の国立標準技術研究所(NIST)のレポートでは、脆弱性(Vulnerability)を『ソフトウェアの設計または設定に含まれる欠陥のうち、セキュリティに影響するもの、さまざまな組織で、一般に公開されたデータベースを維持している』と定義しています。また、日本の情報処理推進機構(IPA)が公表した用語集では『予定されたセキュリティ仕様を満たさないものをVulnerability、仕様上のセキュリティの欠落をExposure』と区別して定義しています。このような脆弱性を持つコンピューターのOSやソフトウェアの情報を、脆弱性情報と呼びます。
脆弱性情報の重要性
脆弱性を放置すると様々な脅威にさらされます。悪意のあるハッカーは日々脆弱性が放置されたWebシステムやソフトウェアを探しており、発見すると脆弱性を悪用する攻撃を仕掛けるのです。
至近の事例として、有名な自動車メーカー子会社がサイバー攻撃を受けたニュースが報道されました。原因は外部との通信に利用していたリモート接続機器の脆弱性です。このサイバー攻撃により、自動車の生産が数日間停止するなど、甚大な被害を受けました。その後、脆弱性対策として当該機器へ脆弱性に対処する最新のパッチソフトウェアが適用されたそうです。
脆弱性情報に関連する言葉
脆弱性情報は様々な組織により公表されています。脆弱性情報を理解するための基礎知識としてCVE、CWE、CVSSなどの基準・仕様について確認していきましょう。ここでは概要を説明しますが、詳細はIPAの公式サイトで確認してください。
- CVE・・・一つ一つの脆弱性を識別するための共通の識別子
- CWE・・・脆弱性の種類を識別するための共通の脆弱性タイプ
- CVSS・・・脆弱性の深刻度を定量的に評価する共通の評価方法
脆弱性情報にはこれらの基準・仕様が含まれていることが多く、脆弱性情報をトリアージして調査・分析する際に役立ちます。
CVE
CVEは情報セキュリティにおける脆弱性やインシデントについて、CVE IDと呼ばれる固有の名前や番号を付与し識別できるようにした、データベースのことです。CVEを使用することで、ベンダーごとに個別に管理されていた脆弱性情報を比較できるようになります。
CWE
CWEは毎年米国のMITRE社がTop25 CWEを発行しており、特に狙われやすい脆弱性の種類をランキング付けしています。CWEを参考にすることで、脆弱性対策をより効率的に進められるでしょう。
CVSS
CVSSは基本評価・現状評価・環境評価の3つの基準があり、10段階で深刻度を評価します。なかでも環境評価は自社における脆弱性情報の深刻度(対策をどの程度急ぐべきか)を正確に把握する際に重要となる指標です。
日本国内の脆弱性管理
日本国内では、主にJPCERT/CCとIPAという2つの団体が脆弱性情報を公表しています。
JPCERT/CC
JPCERT/CCの公式サイトには、専門的知見から注意喚起や脆弱性関連情報・Weekly Reportが掲載されており、日々の脆弱性情報収集に役立ちます。RSSでも配信されており、アップデートを迅速かつ漏れなく把握することが可能です。特にWeekly Reportは、JPCERT/CCがより重要と判断したものが掲載されているため、時間がない場合はこちらを参照するとよいでしょう。
IPA(脆弱性情報)
IPAの公式サイトには、情報セキュリティ対策が網羅的に掲載されています。脆弱性情報のページもあり、四半期毎でCVSSの深刻度を含めた脆弱性情報を確認できます。
こちらは後ほど紹介するJVN iPediaのデータベースとも連携しており、日本国内だけではなく海外の脆弱性情報も確認可能です。
脆弱性情報データベース(JVN、JVN iPedia)
情報セキュリティ早期警戒パートナーシップには早期警戒情報として、日本国内の発見者や開発者などから受付した脆弱性情報を管理・公表する仕組みがあります。この公表に使われているのが、脆弱性対策情報ポータル(JVN)です。早期警戒情報として、発見者や開発者との調整が完了した以下のような脆弱性情報をいち早く公開しています。
- 概要
- 影響を受けるシステム・・製品名、ソフトウェア名(バージョン含む)
- 詳細情報・・CVE,CWE,CVSS(Ver2/Ver3)など
- 想定される影響
- 対策方法・・ワークアラウンド、アップデートなど
- ベンダ情報
- 参考情報・・JPCERT/CCからの補足情報や分析結果
- 謝辞・・発見者などへのお礼など
- 関連情報・・CVE、JVNDB番号
JVNはあくまで日本国内の発見者や開発者からの情報によるものがメインです(一部海外のCERT/CCと連携したものが含まれます)。しかし、国内では海外のソフトウェアや製品も使われており、これだけでは脆弱性管理を網羅できません。
そこで、海外の脆弱性情報を含めて蓄積するための仕組みとして、JVN iPediaというデータベースが公開されています。情報項目はJVNとほぼ同じです。
- 概要
- CVSSによる深刻度
- 影響を受けるシステム
- 想定される影響
- 対策
- ベンダ情報
- CWEによる脆弱性タイプ一覧
- CVE
- 参考情報
JPCERT/CCとIPAは「情報セキュリティ早期警戒パートナーシップ」を締結して、日本国内における脆弱性情報の受付・管理・公表を分担して実施しています。
海外の脆弱性管理
次に、米国のMITREとCERT/CCを紹介します。
MITRE
MITREは世界中の脆弱性管理組織と連携してCVEを採番しています。
CERT/CC(Vulnerability Notes Database)
CERT/CCはCSIRT(Computer Security Incident Response Team)の草分け的存在で、世界で最も権威がある組織と言われています。JPCERT/CCなど各国の組織と連携して脆弱性情報を調整しています。
また日本のJPCERT/CCと同様に、脆弱性情報の受付や管理・公表も行っており、この公表に使われているのがNational Vulnerability Database(NVD)です。
脆弱性情報データベース(NVD)
MITREにてCVE番号が採番された脆弱性の詳細はNational Vulnerability Database(NVD)に掲載されています。
まとめ
ここまで脆弱性の基礎知識や国内・海外の脆弱性情報に関連する組織、脆弱性情報データベースについて解説しました。
実務においては、今回紹介したもの以外に、業界毎に脆弱性情報を共有するInformation Sharing and Analysis Center(ISAC)や、製品ベンダやOpen Source Software (OSS)団体の公式サイト、ハッカーなどが脅威情報を共有するダークウェブサイトなどからの情報収集が必要なケースもあります。
さらに、脆弱性情報の対象であるかを的確に判断するために、自社のWebシステムやソフトウェアの構成なども把握しておかなければなりません。
Microsoft Azureには、脆弱性の特定や自動化された脆弱性スキャンツール(Microsoft Defender for Cloud)により、Azure、AWS、Google Cloudなどのマルチクラウドにおける脆弱性情報の継続的な取得・評価・問題解決ができるソリューションが揃っています。ぜひ検討してみてください。