- 背景
- 参考文献
- CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子
- CVSS (Common Vulnerability Scoring System) - 共通脆弱性評価システム
- CWE (Common Weakness Enumeration) - 共通脆弱性タイプ一覧
- 実際の例
背景
ソフトウェアの脆弱性を確認する際、必ず出てくる用語であるCVE, CVSS, CWEをざっくり把握しておく。 簡単に言うと、
- CVEは世の中の脆弱性の一元的なID、
- CVSSはその脆弱性の深刻度点数、
- CWEはその脆弱性がどのカテゴリなのか
を表す。
参考文献
CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子
- 一言でいうと、「世の中の脆弱性情報を一意に管理するためのID」
- 様々のソフトウェア製品の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与し、脆弱性を管理
- 命名規約は、「CVE-YYYY-XXXX」 : YYYYは年、XXXXは一意の番号を表す。
- 例)CVE-2014-3566(SSLv3脆弱性のPOODLE)、CVE-2016-1018(Abode Flashの脆弱性)
- 日本では上記CVE-IDに準拠した形のJVN-ID(IPAとJPCERT/CCが共同で運営しているJVNにより管理)で識別
CVSS (Common Vulnerability Scoring System) - 共通脆弱性評価システム
- 一言でいうと「脆弱性の深刻度のスコア」
- 情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供。
- 以下のように深刻度でレベル分け。
CWE (Common Weakness Enumeration) - 共通脆弱性タイプ一覧
- 脆弱性を種類別(どういう領域の脆弱性なのか)に分類した指標。
- CVE, CVSSの補足情報としての位置づけ。現時点(2016/12)で全てのCVEに対してCWE IDが付与されているわけではない。
実際の例
CVE Details
たとえば、2016/04月に見つかったAdobe Flash Player脆弱性のCVE-2016-1018(CVSS 9.3)はこちらに記載されている。
http://www.cvedetails.com/cve/CVE-2016-1018/
Oracle Java SEの例
Oracle社が公開した、2016/10のCritical Patch UpdateのJava SE関連脆弱性はこちらに公開されている。
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html#AppendixJAVA
一部抜粋したイメージは以下の通り。
この表では、一番左側に「CVE#」と書いてあるのがCVE ID、真ん中の「CVSS Version 3.0 RISK」の「Base Score」カラムにCVSSスコアが記載されている。
- CVE Detailsの記載
- たとえば、上記の「CVE-2016-5556」はCVE Detailsからの情報公開 https://www.cvedetails.com/cve/CVE-2016-5556/?q=CVE-2016-5556
Microsoftの例
Microsoftの「セキュリティ アドバイザリとセキュリティ情報」の中で、MS16-132はこちらに公開されている。
https://technet.microsoft.com/library/security/ms16-132
一部抜粋したイメージは以下の通り。
この表ではCVE番号「CVE-2016-7256」とCVSS(このサイトの場合は、数字のスコアではなく「重要、緊急」などで表示)が記載されている。