サイバーセキュリティ担当が知っておくべき脆弱性情報について

今回はCSIRTの構築・運用に関する情報です。

CSIRTには定常時と非常時がありますが、定常時の対応として重要なのは脆弱性情報の収集と管理です。

脆弱性情報とはコンピュータのソフトウェア、ハードウェアおよびファームウェアなどに存在する弱点のことです。

詳しい本には「脆弱性と弱点は異なる」ということが書いてあったりして、ややこしいですが、要するに悪いハッカーに狙われる（これは脅威と呼ばれますが）と損失を被る部分です。

脆弱性情報は色々な国や団体が、様々な目的のもと公表しています。

ここからは、日本国内のものと海外のもので分けて整理してみます。

日本国内の脆弱性情報

情報セキュリティ早期警戒パートナーシップ

日本国内ではJPCERT/CCとIPAという2つの団体が脆弱性情報を管理しています。

JPCERT/CCは1996年に設立された、コンピュータインシデントに対応する組織です。

当時、MelissaウィルスやCode Redワームなどにより大きな被害を出したインシデントが社会的に問題となりました。

このような問題が背景となりJPCERT/CCが設立されました。

一方、IPAは情報処理全般を扱う独立行政法人です。情報処理技術試験の主催団体として有名です。

JPCERT/CCとIPAは脆弱性情報の受付、管理、公表を分担して実施しています。

これらは、情報セキュリティ早期警戒パートナーシップと呼ばれる指針を策定して運用しています。

脆弱性対策情報ポータル（JVN）

情報セキュリティ早期警戒パートナーシップでは早期警戒情報として、日本国内の発見者や開発者などから受付した脆弱性情報を公表する仕組みがあります。

この公表に使われているのが、脆弱性対策情報ポータル（JVN）です。

jvn.jp

Japan Vulnerability Notes

https://jvn.jp/index.html

Japan Vulnerability Notes

JVNは早期警戒情報として、発見者や開発者との調整が完了した脆弱性情報をいち早く公開しています。

JVNiPediaデータベース

前述のJVNはあくまで日本国内の発見者や開発者からの情報によるものがメインです。（一部海外のCERT/CCと連携したものが含まれますが）

しかし、国内では海外のソフトウェアや製品も使われているので、これだけでは脆弱性管理を網羅できません。

そのため、海外の脆弱性情報を含め、かつ蓄積するための仕組みとしてJVNiPediaというデータベースが公開されています。

jvndb.jvn.jp

JVN iPedia - 脆弱性対策情報データベース

https://jvndb.jvn.jp/index.html

脆弱性対策情報データベース

IPA重要なセキュリティ情報

IPAはJVNやJVNiPediaより、特に重要なセキュリティ情報をIPAのサイトにて公開しています。

まずはこちらを確認することが良いと思います。

www.ipa.go.jp

IPA 独立行政法人情報処理推進機構：重要なセキュリティ情報一覧

https://www.ipa.go.jp/security/announce/alert.html

海外の脆弱性情報

海外だとNIST（アメリカ国立標準技術研究所）と呼ばれる、セキュリティで最も権威のある機関が公表しているNVDがあります。

NVD

NVDは、日本のJVNの米国版というイメージで良いかと思います。

米国政府のリポジトリであり、Nationalと書かれているとおり国家的な脆弱性管理データベースです。

nvd.nist.gov

NVD - Home

https://nvd.nist.gov

実際に見てみると、JVNには掲載されていない脆弱性情報をかなりの件数確認することができます。

ただし、NISTが受理して検証していない脆弱性情報も掲載されているため、信憑性は十分に確認してから利用する必要があります。

NVDの情報はJVNiPediaにも連携されているため、そういう意味ではJVNiPediaを確認すれば良いと言えます。

CERT/CC

CERT/CCも脆弱性情報を公開しています。

www.kb.cert.org

CERT Coordination Center

https://www.kb.cert.org/vuls/search/

The Vulnerability Notes Database provides information about software vulnerabilities.

ただ、包括的に管理するにはNVDを参照としているので、どのような位置づけのデータベースがなのか、よくわかりません。

予備知識

脆弱性情報を確認する時の予備知識としてはCVE,CWE,CVSSの理解が不可欠です。

これらは米国で考案されたものですが、日本ではIPAが採用しています。

CVE

CVEは共通脆弱性識別子といいます。

米国非営利団体のMITRE社が採番している識別子です。

世界中の脆弱性情報を管理している団体がCVEを脆弱性に付与しており、名前のとおり共通の識別子として利用されています。

詳細はIAPサイトを参照ください。

www.ipa.go.jp

共通脆弱性識別子CVE概説：IPA 独立行政法人情報処理推進機構

https://www.ipa.go.jp/security/vuln/CVE.html

CWE

CWEは共通脆弱性タイプ一覧といいます。

こちらも米国非営利団体のMITRE社が仕様を考案した分類です。

脆弱性の種類を次の項目で分類します。

ビュー
カテゴリー・・暗号、ユーザインタフェースなど
脆弱性・・クラス、ベース、バリアントの3つの属性
複合要因

これらの項目はCWEリストに明記されています。

詳細はIAPサイトを参照ください。

www.ipa.go.jp

共通脆弱性タイプ一覧CWE概説：IPA 独立行政法人情報処理推進機構

https://www.ipa.go.jp/security/vuln/CWE.html

毎年、2022 CWE Top 25という最も危険な脅威のタイプが公表されているので、これらを参考に脆弱性対策の優先度を決定すると効果的です。

cwe.mitre.org

CWE - 2022 CWE Top 25 Most Dangerous Software Weaknesses

https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html

Common Weakness Enumeration (CWE) is a list of software and hardware weaknesses.

CVSS

CVSSは共通脆弱性評価システムといいます。

脆弱性情報の深刻度を10段階の数値で表します。

概要としては基本評価、現状評価、環境評価の3つでスコアリングします。

v3とv2があり、現状はv3が主流になってきていると思います。

計算ソフトウェアなどもあり、パラメタを選択するだけでスコアリングできます。

詳細はIAPサイトを参照ください。

www.ipa.go.jp

共通脆弱性評価システムCVSS概説：IPA 独立行政法人情報処理推進機構

https://www.ipa.go.jp/security/vuln/CVSS.html

おわりに

その他、ソフトウェア開発ベンダやオープンソースフォーラムなど、様々な団体が脆弱性情報を公表しています。

悪いハッカーなどの攻撃者が利用するExploit Databaseなどにも、攻撃コードの裏返しとして脆弱性情報を確認することができます。

とはいえ、あまり多くの情報源を確認しだすと運用がしんどくなると思います。

日本国内で脆弱性情報の管理をする際には、IPA重要なセキュリティ情報、JVNおよびJVNiPediaを利用すれば、ほぼ網羅できると考えます。