今回は、サイバーセキュリティ研究のトップ大学であるカーネギーメロン大学 Software Engineering Institute から、2018年12月発表の有名な論文を取り上げます。
「CVSSは広く誤用されている(原文:The Common Vulnerability Scoring System (CVSS) is widely misused)」という文から始まる論文らしい論文です。
どんな人におすすめ?
まんまですが、システムの脆弱性管理/運用を担っているセキュリティ従事者におすすめです。あとは、メーカーやセキュリティリサーチ組織などの脆弱性に関する情報共有をする人も知っておいたほうがいい内容です。
とはいえ、脆弱性管理やCVSSはサイバーセキュリティ業界にいる限り避けて通れない話題なので、業界人はセキュリティ論文の有名どころとして一読しておくのがよいかと思います。8ページと短いですし、特別な技術的知識も不要です。
ちなみに、最近CVSSのバージョンが3.1から4.0に更新されました。4年ぶりの改定かつメジャーバージョンアップなのでけっこう変更点があります。詳細はこちらでチェック。
どんな内容?
CVSSのスコアだけを当てにして脆弱性のトリアージやリスク評価をすると痛い目見るぞ、という内容です。シンプルかつ強烈な主張です。衝撃ですよね。
CVSS=Comon Vulnerability Scoring Systemは、日本語だと共通脆弱性評価システムと訳されています。その名の通り、あまたのソフトウェア脆弱性を共通の評価システムでスコア付けして対策しやすいようにしようというというのがCVSSです。スコアは10点満点で、スコアが高いほど深刻な脆弱性を意味します。管理母体はFIRST(Forum of Incident Response and Security Team)で、2005年のVersion 1の発表以来、改善を繰り返してきました。現行は2019年に公表されたVersion 3.1ですが、2023年11月から4.0が正式公開されています。
そんなCVSSのスコアを見て、脆弱性の深刻度を評価している人も多いと思いますが、それをそのまんま脆弱性管理に適用すると適切な判断を下せない、というのが全体の主張です。要は、脆弱性とリスクをごっちゃにするなよということです。脆弱性があるからと言って、そのままリスクに直結するわけじゃないよ的な。CVSSはあくまでも脆弱性の技術的な深刻度を表しているものであって、リスクの度合いを表しているわけではないということですね。
注目ポイント
さらに著者たちは、論文の中でCVSSの問題点を3つ指摘しています。
- CVSSは文脈を考慮していない。どんな場面で脆弱性が悪用されるかによって、その深刻度は変化します。例えば、共有ライブラリに脆弱性があった場合、そのライブラリを利用するプログラムはその脆弱性の影響を受けます。しかし、プログラムが入力をサニタイズするかや、どんなタスクや関数をコールするかで深刻度は変わってきます。
- 脆弱性が最終的に引き起こす結果を考慮していない。例えば、自動車の自動運転制御や原子力発電システムなどに悪影響を及ぼしうる脆弱性は、単純にITシステムが止まってしまうだけのものよりも深刻です。そのような最終的な結果の影響度まで勘案されていないのは問題です。
- スコアリングの信頼性が低い。これは、脆弱性の深刻度を数値化する数式の理論的根拠が乏しいことに加えて、セキュリティのプロたちに同じ脆弱性の深刻度をスコアリングさせてみると±2.0くらいのばらつきが出たことが理由です。深刻度が8.0のものを、6.0くらいという人もいれば10.0だという人もいるということです。結構ばらつきがありますね。
感想
この論文の主張自体は鋭くて好きですが、実際にサイバーセキュリティの現場ではCVSSスコアはよく使われる基準ですし、有用であることは間違いないと思います。ただ、深刻度が高い脆弱性にはもちろん注意しますが、FortinetのVPN脆弱性がまだまだ悪用されることを見ると、深刻度よりも目を向けるべきところがありそうです。
むしろこの論文での主張は、セキュリティベンダーなどのセキュリティで商売している側が胸に刻むべきだと思います。CVSSスコアの高い脆弱性に注意を向けることは悪いわけではないですが、今の時代、情報の発信側よりも受信側のほうがコストがかかることが多いということを覚えておきましょう。
最後までお読みいただきありがとうございました。ではまた次回。
おわり
