Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Convenient? Troublesome? CVSS!
Search
am7cinnamon
July 10, 2020
Technology
1
2.6k
Convenient? Troublesome? CVSS!
speaked at #6 JP-RISSA periodic event
am7cinnamon
July 10, 2020
Tweet
Share
More Decks by am7cinnamon
See All by am7cinnamon
Free Tools vs. Follina
am7cinnamon
1
220
入門ハンズオン CyberChef
am7cinnamon
6
26k
「青い空を見上げればいつもそこに白い猫」のススメ
am7cinnamon
1
4.7k
urlscan.io 超入門
am7cinnamon
6
19k
Other Decks in Technology
See All in Technology
AIでテストプロセス自動化に挑戦する
sakatakazunori
1
530
ゼロから始めるSREの事業貢献 - 生成AI時代のSRE成長戦略と実践 / Starting SRE from Day One
shinyorke
PRO
0
110
ビジネス職が分析も担う事業部制組織でのデータ活用の仕組みづくり / Enabling Data Analytics in Business-Led Divisional Organizations
zaimy
1
390
Transformerを用いたアイテム間の 相互影響を考慮したレコメンドリスト生成
recruitengineers
PRO
2
440
毎晩の 負荷試験自動実行による効果
recruitengineers
PRO
5
180
Digitization部 紹介資料
sansan33
PRO
1
4.5k
Data Engineering Study#30 LT資料
tetsuroito
1
190
Copilot coding agentにベットしたいCTOが開発組織で取り組んだこと / GitHub Copilot coding agent in Team
tnir
0
190
伴走から自律へ: 形式知へと導くSREイネーブリングによる プロダクトチームの信頼性オーナーシップ向上 / SRE NEXT 2025
visional_engineering_and_design
3
460
ロールが細分化された組織でSREは何をするか?
tgidgd
1
420
Snowflake Intelligenceという名のAI Agentが切り開くデータ活用の未来とその実現に必要なこと@SnowVillage『Data Management #1 Summit 2025 Recap!!』
ryo_suzuki
1
160
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
6.9k
Featured
See All Featured
Java REST API Framework Comparison - PWX 2021
mraible
31
8.7k
The World Runs on Bad Software
bkeepers
PRO
70
11k
RailsConf 2023
tenderlove
30
1.1k
Faster Mobile Websites
deanohume
308
31k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
Agile that works and the tools we love
rasmusluckow
329
21k
Making Projects Easy
brettharned
116
6.3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
The Language of Interfaces
destraynor
158
25k
Designing for humans not robots
tammielis
253
25k
Embracing the Ebb and Flow
colly
86
4.8k
Transcript
便利? 厄介? CVSS! し な も ん 2020/06/30 JP-RISSA 第6回定例イベント
• 新米セキュリティエンジニア • ユーザ企業 (?) • CSIRT/SOC (で毎日悪戦苦闘) • 資格:支援士、SSCP、CySA+、応用情報ほか
• 興味:マルウェア解析、パスワードクラック、 脆弱性探索 (できるとは言ってない) • 野生のリサーチャ「しなもん」として 活動中 しなもん is 何 ブログ Twitter
突然ですが皆さん…… CVSS って覚えていますか??? SC 試験の範囲だったはずですが……
これです https://jvn.jp/jp/JVN67447798/ https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00327.html これ これ
CVSS (Common Vulnerability Scoring System) ① • 脆弱性の技術的な深刻度を定量的に評価する手法 • 次の3つの基準で評価
ー基本評価基準 ー現状評価基準 ー環境評価基準 • 現在 v2系と v3系 (v3.0、v3.1) がある
CVSS (Common Vulnerability Scoring System) ② • 0~10.0 のスコア (基本値・現状値・環境値)
で表現 ーわかりやすい • 各要素の評価であるベクトル文字列としても表現 ー脆弱性を詳しく表現できる
具体例を見てみましょう ⚫ 例えば、Heartbleed 脆弱性 (CVE-2014-0160) の例 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値:7.5 バージョン ベクトル文字列
スコア (基本値) 基本値は開発者やセキュリティ機関が発表しますが、 現状値・環境値はユーザが評価するものです
具体例を見てみましょう CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値:7.5 CVSS のバージョン :v3.0 どこから攻撃できる? :ネットワークから 攻撃条件は? :特別な条件は不要
攻撃に特権は必要? :不要 攻撃にユーザの関与は必要? :不要 影響範囲はオーソリゼーションスコープ内? :スコープ内に留まる 機密性への影響可能性は? :高い 完全性への影響可能性は? :ない 可用性への影響可能性は? :ない 基本値は? :7.5 (高め) 読み方を知っていれば、こんなにいろいろわかります
便利ではあるのですが…… 問題点もあります…… • CVSS は脆弱性評価の指標として広く使われています • が、
問題点① 読み方が難しい
読み方が難しい…… それぞれ、どんな脆弱性かスラスラ読めますか??? https://jvn.jp/vu/JVNVU91632701/
問題点② 評価者によって 基本値が異なることがある
実は基本値は一意ではない https://jvn.jp/vu/JVNVU94282488/ • 評価者によって想定するシナリオが違い、基本値が変 わることがあります • 例:CVE-2019-15627 の CVSS v3系
https://success.trendmicro.com/solution/000149495 https://nvd.nist.gov/vuln/detail/CVE-2019-15627
実は基本値は一意ではない • 下表のとおり、3機関の評価はバラバラです • ここまで一致しないことも珍しいとは思いますが…… 立場 評価者 基本値 ベクトル文字列 JVN
JPCERT/CC 6.1 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H NVD※ NIST 7.1 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H 開発者 トレンドマイクロ社 6.2 AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H ※NVD だけ v3.1 で評価していますが、v3.0 と v3.1 のスコアにはほぼ差がないので、バージョンの違いは 本質的ではありません
問題点③ パッチ適用の基準には ならない (本当は)
パッチ適用の基準にはならない • CVSS はあくまで「技術的な深刻度」の評価 • ある組織が迅速にパッチ適用すべきかどうかという問 いに答えるためのものではない • あえて言えば、現状評価・環境評価が役立つはず •
しかし、ほとんどの組織は現状/環境評価をせず、外 部機関が発表した基本値だけで判断しようとします …… 基本値 7.0 以上は すぐ対応しろ!!! 何か意味 あるのかな…… 画像借用:いらすとや https://www.irasutoya.com/
問題点④ 基本値が 特定のレンジに偏る
スコアが偏りやすい • 全体的に v2 では「中くらいの値」、v3 では「高めの 値」に偏る傾向があります • 画像は WhiteSource
社が OSS の脆弱性評価を集計し たもの。v2 では ”Medium”、v3 では ”Critical+High” の割合が高いことがわかります 画像は WhiteSource のレポートをもとにした DarkReading の記事から https://www.darkreading.com/vulnerabilities---threats/is-cvss-the-right-standard-for-prioritization/a/d-id/1337712
スコアが偏りやすい • IPA の「JVN iPediaの登録状況」からも読み取れます 画像は 見やすさのため地の文を除いて上下に並べたもの https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q1.html 2017年以降に注目してください。 上下でレンジごとの配色が異なるのでわかりにくいですが、
「上図の赤色」=「下図の赤色+橙色」 「上図の橙色」=「下図の黄色」です。 v3 では 7.0 以上の基本値を持つ脆弱性が半分以上である ことがわかります。
スコアが偏りやすい • 特に v3 では基本値が高く出やすいため、 「あれもこれも重要! パッチ当てなきゃ!」 ということになりがちです…… • 前述したとおり、パッチ適用の判断を
CVSS 基本値に依存すること自体間違 いですけどね…… • v3と v2 で全然スコアの違う脆弱性も出てきてしまい ます(例:画像) https://jvn.jp/vu/JVNVU91632701/
ポスト CVSS? • そんな CVSS に頼らず、独自の脆弱性評価指標をつく ろうという動きが! ➔悪用可能性指標 (マイクロソフト) ➔SSVC
(CERT/CC)
悪用可能性指標 (Microsoft Exploitability Index ) • マイクロソフト社が自社製品の脆弱性について提供し ている指標 • 「脆弱性の悪用コードの開発の難易度や、悪用コード
による攻撃が成功する可能性」を示したものとのこと • 0~3 の 4段階 (数字が小さいほど悪用されやすい) と 、きわめてシンプル • 詳細はマイクロソフト社のブログ※を参照 [IT管理者向け] 脆弱性の悪用のしやすさを知る~悪用可能性指標と緩和策 https://msrc-blog.microsoft.com/2020/01/09/exploitabilityindex/
SSVC (Stakeholder-Specific Vulnerability Categorization) • CVSS の問題点を解決するため、米国 CERT/CC (世界 最初の
CSIRT) が策定中の仕組み • 定性的であること、決定木 (decision tree) の形をと ること、組織の立場 (パッチ開発者、適用者等) により 異なることが主な特徴 • 日本語情報はほぼない • 詳細は Github※1 を参照 • 提唱論文※2もあわせて参照 ※1 https://github.com/CERTCC/SSVC ※2 https://resources.sei.cmu.edu/asset_files/WhitePaper/2019_019_001_636391.pdf 適用者の場合の一部
まとめ • CVSS は広く使われていますし、実際役には立ちます • が、問題点も抱えています • 用途と限界を理解したうえで利用しましょう • もしかしたら将来、CVSS
に代わる新しい指標がメジ ャーになるかも???
For more information: •CVSS 全般 ・Common Vulnerability Scoring System SIG
(FIRST) https://www.first.org/cvss/ ・共通脆弱性評価システムCVSS概説 (IPA) https://www.ipa.go.jp/security/vuln/CVSS.html ・共通脆弱性評価システムCVSS v3概説 (IPA) https://www.ipa.go.jp/security/vuln/CVSSv3.html ・CVSS計算ソフトウェア多国語版 (IPA) https://jvndb.jvn.jp/cvss/ •脆弱性情報サイト ・JVN (JPCERT/CC、IPA) https://jvn.jp/ ・JVN iPedia (IPA) https://jvndb.jvn.jp/ ・CVE (MITRE) https://cve.mitre.org/ ・NVD (NIST) https://nvd.nist.gov/ •CVSS 以外の脆弱性評価指標 ・[IT管理者向け] 脆弱性の悪用のしやすさを知る~悪用可 能性指標と緩和策 https://msrc- blog.microsoft.com/2020/01/09/exploitabilityindex/ ・ CERTCC /SSVC https://github.com/CERTCC/SSVC •書籍 あまりないです。あったら教えてください。 脆弱性管理全般については次の本がおすすめです。 ・サイバー攻撃 ネット世界の裏側で起きていること 中島明日香著、2018年、講談社ブルーバックス