CVSSに代わる脆弱性の評価手法「SSVC」とは｜迅速な脆弱性対応を目指して

発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。

このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。

多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。

本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。

図1.2013年から2022年までの脆弱性数の推移^[1]

出所）NVD^[2]のCVSS Severity Distribution Over Timeより抜粋

▶「【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント」を読む

CVSSを用いた対応方針の課題

CVSSを用いた対応方針に対して、以下の課題が挙げられます。

課題①対応方針を決定するために必要なガイドが示されていない

CVSSとは情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指して作成された評価手法であるため、CVSSによる評価結果から対応方針を決定するためのガイドが示されていません。評価結果であるスコアがレベル分けされている（表1）ことにより、一目で深刻度を把握できる分かりやすさがある一方で、各組織は自ら活用方針を決めていく必要があります。

例えば、一概に「重要以上は緊急対応」などと決めると大量の脆弱性に緊急対応していく可能性があり、システム担当者の負荷増大につながる恐れがあります。システム担当者は脆弱性対応のみを行うわけではないので対応方針にて優先度をつけることが大事ですが、各組織が一から考え対応方針を決定することに難しさが生じており、課題の一つとなっています。

表1.深刻度レベル分け^[3]

出所）共通脆弱性評価システムCVSS v3概説

課題②運用している個々のシステムに関する情報を評価に含めることが難しい

CVSSの評価基準は、表2 CVSS v3の評価基準の通りです。

表2.CVSS v3の評価基準

CVSSは3つの評価を組み合わせて、最終的なスコアを算出します。一見すると、環境評価基準を用いることで個々のシステムに関する情報を評価に組み込んでいるように見えますが、環境評価基準はセキュリティ知識が必要なことや影響度合いを基準に当てはめることに難しさがあります。現状評価基準は未評価であることも多く、基本評価基準のみを用いているとお客様よりお伺いすることが多いです。

しかし、基本評価基準のみに基づいて対応方針を策定していると、影響や環境特性の考慮が無い対応方針を取ることになります。

例えば、ネットワーク機器のマネジメントポートに関して、リモートから任意のコマンド実行が可能な脆弱性が公表されたとします。対応方針に従うと緊急対応が必要となりますが、マネジメントポートをインターネットに公開しておらず第三者から到達不可能であるならば、内部犯行の可能性を除くと緊急性はないと言えます。対応方針に従うならば緊急対応が必要ですが、システム担当者からすると緊急性はないと考えることができます。このように対応方針の基準とシステム担当者の考え方による違いから、混乱を生む可能性があります。

公表される脆弱性の多くはCVSSによって評価され、CVSSのスコアに則り対応方針を策定するやり方は非常に明確でわかりやすい一方で、課題①や課題②が生じることがあります。

CVSSに代わる脆弱性の評価手法「SSVC」とは

SSVCは、前ページで述べた課題を解決する評価手法として、カーネギーメロン大学ソフトウェア工学研究所によって公開された手法^[4]です。

3つのステークホルダー

SSVCでは、3つのステークホルダー（デプロイヤー、サプライヤー、コーディネーター）に応じて3種類の決定木が用意されており、決定木に従い判断することで最終的に脆弱性に対応する優先度を示します。

表3.ステークホルダーの説明

読者の多くが該当すると思われるステークホルダーは、パッチを適用する側であるデプロイヤーになると思いますので、以降はデプロイヤーに焦点を当てて説明します。

デプロイヤーの例

デプロイヤーの優先度は、表4「SSVCの優先度」の通りです。

表4.SSVCの優先度

各脆弱性は、最終的に4つの優先度分けられ、現場のシステム担当者は、優先度に沿った対応を行うことになります。では、どのように優先度が導出されるのかを見ていきましょう。デプロイヤーの決定木の分岐で利用される判断条件は、表5「SSVCの分岐項目」の通りです。

表5.SSVCの分岐項目

ExploitationとUtilityは、脆弱性の現状や脆弱性自体について評価をしており、ExposureとWell-being and Mission Impactは、脆弱性がある製品が属するシステムについて評価をしているため、CVSSのスコアを用いた対応方針の策定の場合とは異なり、環境特性を判断に組み込んでいます。

ExposureとWell-being and Mission Impactの判断に必要な情報は、事前に各システムの状況を整理しておくことで取得可能です。そのため、脆弱性が公表されたときには、ExploitationとUtilityの判断に必要な情報を取得すれば、自動的に優先度を決定することができます。言い換えると、事前に整理しておかなければ脆弱性が公表される度に同じことを確認することになります。迅速な判断を行うためには、構成管理も適切に行うことが大切です。

表4「SSVCの優先度」と表5「SSVCの分岐項目」を用いて構成されるデプロイヤーの決定木は、図2の通りです。

図2-1.SSVCのデプロイヤーの決定木(Exploitation-noneの場合)^[4]

図2-2.SSVCのデプロイヤーの決定木(Exploitation-PoCの場合)^[4]

図2-3.SSVCのデプロイヤーの決定木(Exploitation-activeの場合)^[4]

環境特性を考慮した判断プロセスを示してくれるSSVC

CVSSは、基本評価基準のスコアを与えてくれますが、各組織がスコア毎の対応方針を検討、決定する必要がありました。一方で、SSVCは環境特性を考慮した判断プロセスを示してくれるため、各社はSSVCの判断プロセスをベースに脆弱性の対応方針を決定することができ、事前に情報を整理しておくことで迅速な判断を行うことも可能です。近年大量に脆弱性が公表されるようになってきており、環境特性を考慮した迅速な判断を与えるSSVC は、脆弱性への対応の一つの答えとなるかもしれません。

おわりに

今回は、CVSSに代わる新しい評価手法としてSSVCをご紹介しました。読者の皆様の社内規定では、脆弱性が公表されたときにどのように判断して対応することになっていますでしょうか。

SSVCはあくまで手法の一つとなりますので、CVSSのスコアを分岐条件に組み込むことやSSVCの判断条件をカスタマイズすることで各組織に適した脆弱性管理の規定を作ることができるかもしれません。NRIセキュアがご提供する「SecurePROtecht」でも、SSVCが発表される以前からSSVCで用いられるExploitationやExposureに近い判断を行い、WAFやIDS、プロキシなどのマネージドサービスの脆弱性対応を適宜行っています。

また、社内規定の策定支援を行う「セキュリティポリシー策定支援」や、お客様がご使用の製品の脆弱性情報などを収集してお知らせする「マネージド脅威情報分析サービス」を展開しております。「セキュリティポリシー策定支援」ではもちろんSSVCの考え方を取り入れたポリシー策定も可能です。

お悩み事やご相談事項がありましたらお気軽に弊社担当までお問い合わせいただければ幸いです。