CVSS の概要と課題#
ここでは、脆弱性の評価指標である CVSS(共通脆弱性評価システム)について、脆弱性管理の文脈から概説していきます。
CVSS基本値の課題#
一般的に、リスクは「脆弱性」×「脅威」×「ビジネスへの影響度」の組み合わせで評価されます。 この考え方は脆弱性対応のリスク判断にも適用可能です。
脆弱性情報には CVSS 基本値という指標があり、これは脆弱性そのものの深刻度を0から10までの数字で示しています。 多くの企業は「CVSSスコアが7以上の脆弱性は対応すべき」という方針を取っていますが、実際の運用ではこの基準だけでは十分ではありません。 なぜなら、CVSS基本値は脆弱性そのものの情報を示すものであり、実際の「脅威」や「環境」などの情報は含まれていないからです。
参考として全CVEの平均スコアは「7.6」となっており、CVSS基本値が7以上のものをすべて対応すべきとすると、半数以上が対応必須となります。 この情報は「CVEdetails.com」のデータを基に作成しています。
研究に基づくCVSSベースのトリアージの限界#
さらに、CVSS基本値だけを基にした運用方法はランダムに対応する方法と大差ないという研究結果もあります。 一方、実際に攻撃に利用される脆弱性は全体の5%しかないという研究も存在します。 したがって我々運用者は、CVSS基本値だけでなく、他の情報も考慮してリスクを判断し、対応が必要な脆弱性を選別する必要があります。
- An Approach to Discover and Assess Vulnerability Severity Automatically in Cyber-Physical Systems
- Relying on CVSS alone is risky for vulnerability management
- [Jacobs et al.(2020)] Jay Jacobs, Sasha Romanosky, Idris Adjerid, and Wade Baker. 2020. Improving vulnerability remediation through better exploit prediction. Journal of Cybersecurity 6, 1 (2020), tyaa015.
CVSSスコアを用いた脆弱性管理の課題#
| 課題 | 説明 |
|---|---|
| 実際の攻撃状況が反映されない | CVSSスコアは脆弱性自体の危険度を示すのみで、システムの環境や攻撃状況が考慮されていません。 |
| 行動指針が不十分 | スコアに基づいて対応を決定する明確なガイドラインがありません |
| 対応範囲が広すぎる | CVSSスコア7以上の脆弱性が全体の半数を占め、現実的な対応数まで絞り込めません |
CVSSベースの課題について詳しく知りたい方は以下をご参照ください:
このような課題から、近年は SSVC のような脆弱性の評価指標が注目されています。