CVEメモ

脆弱性関連情報流通体制

発見者→IPAJPCERT/CCIPA,JPCERT/CC,JVNで公表→ユーザ企業

f:id:kandataclub:20171218094543p:plain

用語について

CVEとは

  • MITRE社
  • 世の中にはCERT/CCやHP、IBM、OSVDB、Red HatSymantecなど80を超える主要な脆弱性情報サイトがあり、MITRE社ではこれらのサイトと連携して脆弱性情報の収集と、重複のない採番に努めています
  • 世の中のソフトウェアの脆弱性はユニークなCVE-ID識別子が割り当てられる
  • CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではない様子
  • 共通脆弱性識別子。脆弱性に付けられるユニークなIDのこと
  • また、ソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベースのこと
  • 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

番号の付け方

  • CVEでは脆弱性にユニークな識別番号 「CVE-ID」(CVE-登録時の西暦-通し番号の形式)です。
    • 脆弱性「Heartbleed」は、2014年4月7日にCVE-2014-0160として発表されました。つまり、CVE-ID の構成から、2014年に0160番として登録

NIST

アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST) が過去に管理していた脆弱性情報データベースである。現在は機能強化されたNVDに移行している。

NVDとは

  • NISTが管理している脆弱性情報データベース
  • NISTはMITRE/CVEのスポンサーであり、CVEで命名された脆弱性情報の詳細情報をNVDで提供するという住み分けを行なっている。また、他の脆弱性情報データベースとの違いとして、Common Vulnerability Scoring System(通称CVSS)による危険度の採点を行なっている点が挙げられる。

JVNとは

  • IPAJPCERT/CCが共同で運営
  • いち早く一般に周知することを目的に、早期警戒パートナーシップで取扱われた脆弱性関連情報や、協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載
  • なのでJVNをチェックすればほぼ世の中のCVEは把握できそう

CERT/CC

  • コンピュータやインターネットのセキュリティに関する研究や情報発信を行なっているアメリカの研究機関

JPCERT/CC

  • 国内向けのセキュリティ関連情報の提供や各国代表CSIRTとの連携窓口となっている機関

JVN iPedia

  • JVNよりもさらに日本向け情報に特化したもの
  • JVN iPediaは、国内外問わず日々公開される脆弱性対策情報を収集、蓄積することを目的とした脆弱性対策情報データベースです。目的の脆弱性対策情報を容易にご利用いただくために、様々な検索機能をご用意しています。

JVNJVN iPediaとMITRE社\

  • MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請している。

JVNJVN iPediaの違い?

  • JVN iPediaはJVNの情報に加えて、「脆弱性対策情報データベース(JVN iPedia=ジェイブイエヌ アイ・ペディア)」には日々発見される脆弱性対策情報が収録JVN iPediaは日々発見される脆弱性対策情報を蓄積することで幅広くご利用いただくことを目的としています。JVNに掲載される脆弱性対策情報のほか、国内外問わず公開された脆弱性対策情報を広く公開対象とし、データベースとして蓄積しています。
  • 一方、JVNでは、いち早く一般に周知することを目的に、早期警戒パートナーシップで取扱われた脆弱性関連情報や、 協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載しています。JVNの詳細については「JVNとは?」をあわせて参照下さい。

脆弱性の対応

各ベンダーのサイトで確認する必要があります。

CVSS

基準のこと

  • 脆弱性対策情報データベースでは、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を用いて、評価結果およびCVSS基本値の評価内容を記載し、脆弱性の固有の深刻度を表しています。
  • なお、CVSSには、FIRSTから2007年6月20日に公開された共通脆弱性評価システムCVSSv2、2015年6月10日に公開されたCVSSv3が存在し、JVNiPediaでは2015年12月1日より情報セキュリティ早期警戒パートナーシップで報告された脆弱性を対象にCVSSv2、CVSSv3を併記して公開しています。

「CVSSv2」と「CVSSv3」の違いについて

CVSSv2は、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価していましたが、CVSSv3では、仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様となっています。

まとめ

  • 世の中のソフトウェアの脆弱性はユニークなCVE-IDで判別できる。
  • JVNJPCERT/CCが運営しているので日本の情報+海外の情報も網羅(JPCERT/CCが海外と連携)しているので、脆弱性に関してはJVNを調べればOKそう。プラスJVN iPediaで更に日本に特化した情報を調べれば良さそう

参考

今さら聞けないセキュリティ情報の読み方 — | サイオスOSS | サイオステクノロジー