IT Guy

IT、Project Management、IoT、プログラミング、ITIL等々

ざっくり分かる脆弱性指標 - CVE CVSS CWE

背景

ソフトウェアの脆弱性を確認する際、必ず出てくる用語であるCVE, CVSS, CWEをざっくり把握しておく。 簡単に言うと、

  • CVEは世の中の脆弱性の一元的なID、
  • CVSSはその脆弱性の深刻度点数、
  • CWEはその脆弱性がどのカテゴリなのか

を表す。

参考文献

CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子

  • 一言でいうと、「世の中の脆弱性情報を一意に管理するためのID」
  • 様々のソフトウェア製品の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与し、脆弱性を管理
  • 命名規約は、「CVE-YYYY-XXXX」 : YYYYは年、XXXXは一意の番号を表す。
  • 日本では上記CVE-IDに準拠した形のJVN-ID(IPAJPCERT/CCが共同で運営しているJVNにより管理)で識別

CVSS (Common Vulnerability Scoring System) - 共通脆弱性評価システム

  • 一言でいうと「脆弱性の深刻度のスコア」
  • 情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供。
  • 以下のように深刻度でレベル分け。

f:id:blog-guy:20171005184709p:plain

CWE (Common Weakness Enumeration) - 共通脆弱性タイプ一覧

  • 脆弱性を種類別(どういう領域の脆弱性なのか)に分類した指標。
  • CVE, CVSSの補足情報としての位置づけ。現時点(2016/12)で全てのCVEに対してCWE IDが付与されているわけではない。

実際の例

CVE Details

たとえば、2016/04月に見つかったAdobe Flash Player脆弱性のCVE-2016-1018(CVSS 9.3)はこちらに記載されている。
http://www.cvedetails.com/cve/CVE-2016-1018/

Oracle Java SEの例

Oracle社が公開した、2016/10のCritical Patch UpdateのJava SE関連脆弱性はこちらに公開されている。
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html#AppendixJAVA

一部抜粋したイメージは以下の通り。 f:id:blog-guy:20171005184741p:plain

この表では、一番左側に「CVE#」と書いてあるのがCVE ID、真ん中の「CVSS Version 3.0 RISK」の「Base Score」カラムにCVSSスコアが記載されている。

Microsoftの例

Microsoftの「セキュリティ アドバイザリとセキュリティ情報」の中で、MS16-132はこちらに公開されている。
https://technet.microsoft.com/library/security/ms16-132

一部抜粋したイメージは以下の通り。 f:id:blog-guy:20171005184754p:plain

この表ではCVE番号「CVE-2016-7256」とCVSS(このサイトの場合は、数字のスコアではなく「重要、緊急」などで表示)が記載されている。