CVSS 4.0 により脆弱性の重大度の見方はどう変わり、何が変わらないのか
ネットワークの規模に関係なく、ネットワーク上のセキュリティの脆弱性を見つけて管理し、パッチを適用することは大変な作業です。
2024 年の最初の週だけで
、世界全体で新たに 621 件の IT セキュリティの共通脆弱性識別子(CVE)が公開されました。対象となったのは、どのネットワーク上にも存在する可能性があるさまざまなアプリケーション、ソフトウェア、ハードウェアです。
緩和やパッチ適用が必要なセキュリティの脆弱性の数を見るだけで、どの IT チームも圧倒されることでしょう。そのため、基本的なところでは、脆弱性がどの程度深刻なのかを測定して 0 ~ 10 の等級に分類する単一のデータポイントが管理者やセキュリティ研究者にとって魅力的に見える理由は簡単に理解できます。
ほとんどのサイバーセキュリティ オブザーバは、特定の脆弱性がどの程度深刻なのかを測定する際の「Critical(緊急)」、「Severe(重大)」、「Moderate(警告)」などの基本的な用語を知っているでしょう。これらの用語は通常、セキュリティの問題が公開されるときにニュース記事や技術的な解説で使用されるもので、脆弱性の CVSS スコアに基づいています。
現在、脆弱性にスコアを付ける方法が変わりつつあり、多くの組織は、新たに作成された CVSS 4.0 を今年から採用するようです。これは、脆弱性が具体的にどのようにエクスプロイトされる可能性があるのか、また、攻撃対象にとってどのような種類のリスクがあるのかについて、新たなコンテキストが提供されることを期待してのことです。
CVSS は、Forum of Incident Response and Security Teams(FIRST)という、政府機関と民間企業のインシデント対応チームからなる非営利団体によって作成されたもので、同団体が管理しています。
FIRST は CVSS スコアリングシステムについて、「脆弱性の主要な特性を捉え、その重大度を反映した数値スコアを生成する方法」と説明しています。数値スコアは、(低、中、高、緊急などの)定性的な表現に変換して、企業が自社の脆弱性管理プロセスを適切に評価し、優先順位を付けるために役立てることができます。
また、リスクを単純な数値スコアで表現することはセキュリティ分野の多くにおいて有益なことですが、重要なコンテキストが抜け落ちてしまうことも多く、ネットワーク上の脆弱なシステムをどのように管理するのが最善なのかについての全体像を描くことができない不完全なシステムでもあります。
CVSS 4.0 の変更点
CVSS 3.1 は、多くの企業が脆弱性の重大度を測定するために使用している現行モデルであり、4 年ほど前から採用されています。CVSS 4.0 は、攻撃者が特定の脆弱性をどのようにエクスプロイトする可能性があるのか、また、エクスプロイトを行う前に攻撃者は具体的にどのような要件を満たす必要があるのかについてのコンテキストを追加する目的で作成されています。
Cisco Vulnerability Management の脅威検出・対応エンジニアの責任者である Jerry Gamblin は、Talos Takes の最近のエピソードで、重大度スコア(および問題が特に緊急かどうか)が一番の関心事であるユーザーにとっては、脆弱性をスコアリングするための新しい「攻撃要件」フィールドが重要なポイントになると述べています。Gamblin によると、対象のソフトウェアがデフォルトの状態以外で特定の方法によって設定されていることが前提条件となる脆弱性は、CVSS 4.0 では重大度スコアが低くなる可能性が高いとのことです。
FIRST は、CVSS 4.0 が提供するものは「ベースとなる新たな測定基準と値を追加することによる粒度の向上」であることも発表しました。これには、攻撃が成功するためにはどのような攻撃要件が存在するのかと、脆弱性をエクスプロイトするためにはユーザーによる操作が必要かどうかに関する新たな情報を読者や管理者に提供することも含まれています。
CVSS 4.0 では、サイバーセキュリティ コミュニティの大きな焦点となっている、モノのインターネット(IoT)と産業用制御システムの領域における復元力にも、これまで以上に重点が置かれています。
CVSS 4.0 が公開されて十分な期間が経過すると、FIRST は 4.1 のアップデートをリリースし、ロールアウト中に発見された不整合を修正したり、不足しているコンテキストを追加したりするようです。ただし、その具体的な時期は決まっていません。
CVSS 4.0 が、ユーザーにお馴染みの多くの脆弱性アドバイザリに掲載されるようになるのは今年の後半になってから、つまり National Vulnerability Database のような脆弱性のリリースと開示を扱う組織が CVSS 4.0 の採用を始める頃でしょう。
毎年何百もの新たな脆弱性を発見し公表している Talos の脆弱性調査チームのリーダーである Yves Younan は、あらゆる問題への対処が必要なので、Talos の脆弱性アドバイザリで CVSS 4.0 を採用するまでには 1 年以上かかる可能性があると述べています。5 年前に CVSS 3.0 がリリースされたときも、Talos はすぐには採用しませんでした。
重大度スコアが意味するもの
一般的に、CVSS のスコアが高いほどその脆弱性は他よりも深刻であり、重大度スコアが低いものよりも早急に対処する必要があります。
たとえば Log4shell(CVE-2021-44228)は、人気のある Apache Foundation Log4j ライブラリの重大なリモートコード実行の脆弱性で、最初に発見された 2021 年 12 月に 10 点中 10 点の最高スコアが割り当てられました。この悪名高い脆弱性は世界中で広く悪用され、いまだに問題となっています。
CVSS スコアは問題の深刻さを測る客観的な尺度のように見えますが、脆弱性を報告した研究者や、問題にパッチを適用する必要のあるベンダーの影響を受ける可能性があります。
Younan によると、Talos は CVSS 計算機を使用して独自の重大度スコアを作成しています。最終的に Talos は、MITRE 社が CVE を割り当てるのを待ってから、影響を受けるベンダーに対してパッチのリリースについて連絡します。ただし CVSS の計算方法には、脆弱性のエクスプロイトが特に「容易」と考えるか「困難」と考えるかなど、採点する組織の主観に左右される側面があります。CVSS 3.1 では採点の判断によってスコアが大きく変わっていましたが、CVSS 4.0 ではスコアへの影響がはるかに小さいことが大きなメリットの 1 つです。
ただし、一般に公開される最終的なスコアは非常に重要です。というのも、セキュリティ問題が報道で取り上げられたり、ソーシャルメディアで広く拡散されたりすると、往々にして、パッチが適用されていないソフトウェアやハードウェア上でその問題を悪用しようとする攻撃者が増え、その結果、管理者が問題にパッチを適用する必要性に関する緊急度が高まるからです。
また、個々の脆弱性の重大度スコアは、潜在的なエクスプロイトの全容を示しているわけでもありません。多くの攻撃や侵害は、攻撃者が複数の脆弱性を連鎖させて特定の製品やサービスを狙った結果である、と Younan は述べています。脆弱性の詳細を解説する『Vulnerability Deep Dive』の投稿の多くで Talos が明らかにしているように、攻撃者は重大度が比較的低い一連の脆弱性を利用して、最終的にはより深刻な攻撃を実行したり、システムを完全に乗っ取ったりすることもあります。
重大度スコアが脆弱性管理に及ぼす影響について
重大度スコアは最終的に見出しで取り上げられますが、パッチの適用頻度や脆弱性管理ではいくつかの要素を考慮しなければなりません。
パッチの適用やシステムのアップデートにどのように対処するかについて、各組織はそれぞれのニーズに応じて独自のアプローチをとることになる、と Gamblin は述べています。つまり重大度が 10 点中 10 点の脆弱性に最初にパッチを適用し、次に 9.9 点の脆弱性にパッチを適用するといった単純なものではないということです。
Cisco Vulnerability Management のような一部のテクノロジーは、管理者がシステムへのパッチ適用に優先順位を付け、ネットワークにどのような脆弱性が存在するのかを確認するのに役立ちます。Cisco Vulnerability Management には、パッチ適用の優先順位を決めるための独自のリスクスコアがあります。ベースとなる CVSS スコアをその計算の一部として使用していますが、Gamblin が述べたところによると、CVSS 4.0 がリリースされてもシスコのリスクスコアは変わりません。
Gamblin はすべてのユーザーと管理者に対して、脆弱性のスコアが「Critical(緊急)」かどうかに関係なく、まずインターネットに直接公開されているすべてのソフトウェアやハードウェアの脆弱性にパッチを適用するよう促しています。
「インターネットは最も頻繁に攻撃が行われる場所なので、インターネットに公開されているすべてのものにパッチを適用するべきです」と、Talos Takes のエピソードで Gamblin は語り、「最近は、物理的な攻撃やローカルな攻撃はほとんどありません」と述べています。
その後で、リモートコード実行につながる可能性のある特定の脆弱性に絞ってパッチを適用すべきです。というのも、攻撃者が悪用する可能性が最も高いのがこれらの問題だからです。一般的に、リモートコード実行の脆弱性は重大度スコアが高くなりますが、必ずしもそうとは限りません。
電子メールクライアントや、従業員が専用のログイン情報を持ち、機密情報を保存するソフトウェアなど、企業において顧客や従業員が日常的にアクセスするシステムに優先的にパッチを適用することも重要だと Gamblin は述べています。
2023 年総括レポートで指摘したように、ネットワーク インフラストラクチャへの攻撃も増えているので、ルータやスイッチなど、インターネットに接続するエッジデバイスにもパッチを適用することが重要です。
このトピックの詳細については、パッチの適用戦略に関する Talos Takes の過去のエピソードを以下でお聞きください。また、ネットワーク インフラストラクチャの保護に関する最近の投稿もご覧ください。
Tags:本稿は 2024 年 02 月 21 日に Talos Group
