技術書典4で何冊か本を購入したのでレビューをしたいと思います。

まず最初になつよさん(@infragirl755)が出してた「脆弱性ってなんだろう?~CVSSを知ろう~」から。

この本では脆弱性そのものの説明は軽くで主にCVSSという脆弱性の危険度の評価基準についての解説が記載されている。

CVSSにはv2とv3というバージョンがあるがこの本ではv2について解説されている。

CVSSとは脆弱性の評価手法の1つで大きく3つの基準から構成されていて、またそれぞれの基準がいくつかの要素から構成されている。

(1)基本評価基準(Base Metrics)

(2)現状評価基準(Temporal Metrics)

(3)環境評価基準(Enviromental Metrics)

(1)基本評価基準(Base Metrics)

基本評価基準は以下の6つの基準から構成されている。

1.AV:攻撃元区分(Access Vector)

2.AC:攻撃条件の複雑さ(Access Complexity)

3.Au:攻撃前の認証可否(Authentication)

4.C:機密性への影響(情報漏えいの可能性、Confidentiality Impact)

5.I:完全性への影響(情報改ざんの可能性、Integrity Impact)

6.A:可用性への影響(業務停止の可能性)

(2)現状評価基準(Temporal Metrics)

現状評価基準はその時の脆弱性の危険度を表す。

1.E:攻撃される可能性(Exploitability)

2.RL:利用可能な対策のレベル(Remediation Level)

3.RC:脆弱性情報の信頼性(report Confidence)

一番危険なのは、脆弱性の対策方法がないにも関わらずインターネット上で脆弱性があるという情報とその具体的な攻撃手法の情報が出回っているときが一番危険。

(3)環境評価基準(Enviromental Metrics)

最後に環境評価基準です。これは脆弱性のあるソフトウェアを利用している環境ごとに異なるので一概にどうとは言えない。

1.COP:二次的被害の可能性(Collanteral Damage Potensial)

2.TD:影響を受ける対象システムの範囲(Target Distribution)

3.CR,IR,AR:対象システムのセキュリティ要求度(Security Requirements)

感想

自分は脆弱性の情報がでたときは評価基準の値とか見てなくて、主に見てるのは

「脆弱性を悪用した結果何ができるのか」(権限昇格なのか、DoSなのか、RCEなのか)

「その攻撃はリモートからできるのか」(インターネット越しにできるのか、LAN内にいないと駄目なのか)

「攻撃が成功する前提条件はあるか」(1つ上のやつも含まれるけどそれ以外にもログインしてる必要があるとか、事前に特定の情報を知っておく必要があるのか)

ぐらいで、後は脆弱性の深刻度を表すスコアくらいしか見てないのでたぶん脆弱性の会話をするときにこの評価基準の値がx.xで~とか言われても分からないかも…

これはDoSなのかRCEなのかでサービスが止まってしまうのか踏み台にされるのか最悪個人情報が抜かれるのかまでいっきに想定できるからってのと、攻撃の前提条件が分かればすぐに攻撃がやってくるのかどうかってのがある程度想定できるから。