SSVCとは?CVSSに代わる脆弱性評価の手法でスピーディーな判断を実現
SSVCは、CVSSに代わる脆弱性評価の手法として注目されている評価指標のことです。
本記事では、CVSSの特徴や課題を踏まえたうえで、代わりとなるSSVCの概要や導入のメリットを解説します。また、SSVCがCVSSの代わりとして使用される背景をわかりやすくまとめました。
記事の後半ではSSVC・CVSS以外の指標も紹介しています。脆弱性の評価指標を基本から知りたい方は、ぜひ参考にしてみてください。
CVSSによる脆弱性評価
SSVCは、CVSSの課題を解決するために作られた指標です。SSVCを理解するために、まずはCVSSの概要から見ていきましょう。
ここではCVSSの概要について、以下の項目に分けて解説していきます。
- CVSSとは
- CVSSのバージョン
- CVSSを用いた対応方針の課題
CVSSとは
CVSS(common vulnerability scoring system:シー・ブイ・エス・エス)は、脆弱性の評価に利用される指標の一つです。
CVSSにより脆弱性の深刻度を定量的に表せるのが特徴です。脆弱性の影響をスコアリングすることで、各リスクの優先順位をつけやすくなるメリットがあります。
CVSSは「基本評価基準」「現状評価基準」「環境評価基準」の3つの基準で構成されています。このうちよく使われる基準が「基本評価基準」です。
基本評価基準は脆弱性そのもののリスクを評価し、0.0~10.0のCVSS基本値を算出します。評価項目には、攻撃元区分や攻撃条件の複雑さ、攻撃する際に必要な権限などがあります。
脆弱性の現状を評価する「現状評価基準」と、対象製品の利用環境を評価する「環境評価基準」は、活用が困難なことから現状あまり使用されていません。
関連記事:脆弱性の深刻度をセルフチェック CVSS
CVSSのバージョン
CVSSの評価方法は、2005年のCVSS v1の発表後もバージョンアップを重ねています。最新バージョンは、2023年11月発表のCVSS v4.0です。2024年7月現在ではまだCVSS v3.1を使用するケースが多いようですが、今後はCVSS v4.0に移行していくと予想されます。
CVSS v2とCVSS v3の違い
CVSS v2とCVSS v3の大きな違いは、脆弱性の評価方法です。CVSS v2では脆弱性の影響を評価して、「機密性」「完全性」「可用性」の各メトリクスをもとにスコアリングします。
CVSS v3では、ユーザーインタラクションの有無や攻撃の複雑さなどの基準が新たに導入されています。メトリクスの追加によって脆弱性のリスクがより明確になり、優先順位をつけやすくなりました。
なお、公開済みの脆弱性の多くは、米国国立標準技術研究所(NIST)が運営している脆弱性データベース「NVD」(National Vulnerability Database) によってCVSSのスコアが付けられます。
CVSS v4.0の変変更点
CVSS v4.0では、CVSS v3.1をベースにさらなる改善がおこなわれています。基本評価基準や環境評価基準が改善され、「現状評価基準」は「脅威評価基準」に変更となりました。また、利用可能な対策のレベルと脆弱性情報の信頼性が廃止されています。
CVSS v4.0ではCVSSスコアの算出方法や表現方法が変更・改善されたこともポイントです。
基本評価基準のみを使用している場合は「CVSS-B」、基本評価基準と環境評価基準を使用している場合は「CVSS-BE」でスコアリングします。左記のように、どの評価基準を採用しているかがより明確になりました。
CVSSを用いた対応方針の課題
CVSSは改善のためにバージョンアップを繰り返していますが、一方でCVSSを用いた対応方針には課題があるのも実情です。
CVSS v4.0では多くの点が改善されましたが、それでもCVSSの基本値のみをリスク判断に使用している状態は変わっていません。脆弱性の数が増え、深刻度の高い脆弱性が増え続けている中、評価をより正しく理解して利用する必要があります。
こうした状況でCVSSに代わる手段を探ることも重要です。脆弱性への対応方針まで導ける「SSVC」の導入は、有効な手段の一つでしょう。次項では、SSVCについて解説します。
SSVCとは
SSVC(Stakeholder-Specific Vulnerability Categorization)とは、脆弱性管理における評価指標の一つです。SSVCは、CVSSの課題を解決するために提案された、新たな脆弱性評価の指標でもあります。
CVSSが脆弱性の深刻度を数値で表すのに対し、SSVCでは対応すべき方針が出力される点が大きな違いです。具体的には決定木分析(ディシジョンツリー)によって脆弱性が分類され、優先度づけがおこなわれます。
SSVCは、脆弱性に対し、どのような行動をどのような優先順位で実施するか意思決定をするのに役立ちます。
SSVCを用いた脆弱性評価のポイント3つ
以下では、SSVCを用いた脆弱性評価のポイントを3つご紹介します。
- ポイント1:3種類のステークホルダーを設定
- ポイント2:対応方針を決める決定木に使う分岐条件は4つ
- ポイント3:結果は4つの優先順位に分類
それぞれを見ていきましょう。
ポイント1:3種類のステークホルダーを設定
SSVCでは、3種類のステークホルダーに応じて3つの決定木が用意されています。
- デプロイヤー…パッチを適用する側。脆弱性の対応をおこなう。
- サプライヤー…パッチを提供する側。製品ベンダなどがこれに当たる。
- コーディネーター…脆弱性情報を統制する側。CSIRTなど。
各ステークホルダーごとに用意された決定木に従い判断することで、脆弱性に対する優先度を示します。デプロイヤー、サプライヤー、コーディネーターそれぞれの対応者が、どのような対応を選択するべきかを導き出せます。
ポイント2:対応方針を決める決定木に使う分岐条件は4つ
SSVCで脆弱性への対応方針を決める際には、先述の決定木を使用します。デプロイヤーを例に挙げると、決定木の分岐条件は以下の4つです。
- Exploitation…脆弱性の悪用状況の評価
- Exposure…システムやサービスの外部露出度の評価
- Utility…攻撃者にとっての有用性の評価
- Human Impact…安全への影響や、業務進行上の影響の評価
上記の4つの評価値から、決定木をたどって対応方針が決められます。
ポイント3:結果は4つの優先順位に分類
SSVCによる脆弱性の評価結果は、4つの優先順位に分類されます。どのような行動が必要かが、以下の4つのレベルで導き出される仕組みです。
- defer…現時点では対応しない
- scheduled…定期メンテナンスの際に対応する
- out-of-cycle…通常よりも迅速に対応する
- immediate…組織の通常業務の停止も視野に入れ、迅速に対応する
SSVCによる脆弱性評価のメリット
SSVCによる脆弱性評価のメリットをご紹介します。
- 明確で早急な判断ができる
- ステークホルダーに応じた判断ができる
それぞれを詳しく解説していきます。
1. 明確で早急な判断ができる
SSVCによる脆弱性評価では、明確で早急な判断ができる点が大きなメリットです。
SSVCでは結果出力の過程で、決定木をたどって優先順位が決定されます。決定木では、起点から条件分岐ごとに判定を繰り返すため、明確かつ適切な判断が可能になります。
また、最終判断に至るまでのプロセスが明瞭であり、関係者に対して共有しやすい点もメリットです。議論や考察をおこなう場合も判定ポイントがわかりやすく、透明性を確保できます。
2. ステークホルダーに応じた判断ができる
CVSSでも、脆弱性の優先度を決めるためのスコアの算出は可能でした。しかし、ステークホルダーによる立場の違いが反映されない課題を抱えていました。
CVSSに代わるSSVCでは、ステークホルダーごとの決定木をたどって優先順位を決定できます。そのためSSVCのユーザーは、自身の立場に対応した決定木を選択することで、適切な判断をしやすくなります。
SSVCがCVSSの代わりに使われる背景
なぜ、SSVCはCVSSの代わりに使われるようになっているのでしょうか。以下では、SSVCがCVSSの代わりに使われる4つの背景を解説します。
- 背景1:CVSSでは具体的な対策や方針が提示されない
- 背景2:CVSSスコアの高低は悪用・攻撃リスクと比例しない
- 背景3:CVSSスコアの分析が難しい
- 背景4:ケースによっては現状評価と環境評価をしていない
背景1:CVSSでは具体的な対策や方針が提示されない
CVSSが対応しているのは、あくまで脆弱性の評価結果の出力のみです。
脆弱性を解消するための具体的な対策や方針は提示されないため、自ら対応方針を練り決めなければなりません。そのためCVSSでは、脆弱性を解消するまでに手間と時間がかかってしまう背景がありました。
背景2:CVSSスコアの高低は悪用・攻撃リスクと比例しない
CVSSのスコアは、攻撃元区分や攻撃の複雑さなどの各評価項目に基づき0.0~10.0の値で算出されます。
しかし、この数値は、あくまで技術的観点の深刻度を示しています。つまり、「脆弱性が悪用された場合に、ソフトウェア上でどのような事象が起こり得るか」の評価に留まるということです。
そのため、CVSSスコアの高低は、脆弱性の悪用・攻撃リスクと必ずしも比例するとは限りません。CVSSでは「攻撃を受けた際の業務への影響はどの程度か」「本当に攻撃を受ける可能性があるのか」などのリスクを正しく表現できません。
背景3:CVSSスコアの分析が難しい
CVSSスコアの分析が難しいことも背景の一つです。CVSSスコアには、±0.5ポイントの誤差が許容されています。
そのため提示された脆弱性の深刻度をそのまま信頼し、画一的な対応をしてしまうと、適切な管理ができないリスクに陥る可能性があります。
背景4:ケースによっては現状評価と環境評価をしていない
CVSSでは、本来現状評価と環境評価も設けられています。しかし、基本評価基準しか利用していないケースが多くなっているのが実情です。
脆弱性のリスクは、悪用状況や環境によるものも大きく影響します。基本評価基準のみでは、検出された脆弱性の危険性を適切に評価できていない可能性があります。
このような背景から、SSVCがCVSSに代わって使われるようになりつつあるのです。
SSVC・CVSSのほかに脆弱性を評価できる指標
SSVCとCVSSのほかに脆弱性を評価できる指標を解説します。SSVCとCVSS以外で挙げられる評価指標は以下の2つです。
- KEV
- EPSS
それぞれの特徴を解説します。
KEV
KEVの定義と取得方法を説明します。
KEVとは
KEV(Known Exploited Vulnerabilities catalog)は、アメリカのサイバーセキュリティ・社会基盤安全保障庁(CISA)が公開している脆弱性のリストです。サイバー攻撃に悪用された脆弱性が一覧化されています。
アメリカでは、KEVに掲載された脆弱性は、定められた期日までに対応しなければならない法律が定められています。
日本固有の問題は掲載されていないものの、優先度の高い脆弱性を効率よく知るための手段として有効です。
KEVの取得方法
なお、KEVはWebサイトの公開情報を閲覧するほか、CSVやJSONデータファイルでも提供されており、下記の取得方法があります。
- CSVファイルをDL
- JSONファイルをDL
- JSON SCHEMAファイルをDL
EPSS
EPSSの定義と取得方法を説明します。
EPSSとは
EPSS(Exploit Prediction Scoring System)は、ある脆弱性が30日以内に悪用される可能性を予測できるものです。FIRSTが2019年8月に始めた取り組みで、EPSSの予測値は同団体のWebサイトから確認できます。
ただし、EPSSの計算の詳細は公開されていません。そのため、数値の説明が難しいことや、その精度を証明する術がないといった課題を抱えています。
EPSSの取得方法
EPSSはWebサイトで閲覧するほか、すべてのCVEデータが含まれた毎日更新されるCSV、もしくはAPI連携により、取得できます。
- CSVファイルをDL
- APIを利用
脆弱性管理でお悩みの方は「yamory」にご相談を!
無数にあるオープンソースの脆弱性やリスクを適切に管理するには、セキュリティ対策ソリューションの導入が欠かせません。
脆弱性管理でお悩みの方は、株式会社アシュアードが運営する「yamory」にご相談ください。yamoryは、ITシステム全レイヤーの脆弱性対策の運用・管理までをオールインワンで実現できるクラウドサービスです。
yamoryでは、オートトリアージ機能と独自の脆弱性データベースを用いています。SSVCとは異なるアプローチによって、リスクベースの優先順位づけが可能です。
オートトリアージ機能は、脆弱性対応の優先度を自動判別する機能です。脆弱性自体の深刻度だけでなく、該当のシステムの使用状況と攻撃コード(PoC)の有無を加味した優先順位づけをおこないます。
自動判別された脆弱性情報は画面上で可視化され、ユーザーは対応の優先度が高い脆弱性を一目で把握できます。脆弱性管理や対応にかかる作業工数が大幅に削減されるでしょう。
また、オートトリアージ機能にはKEVカタログが組み込まれているため、掲載されている脆弱性をすぐに確認できます。さらに、脆弱性一覧では「EPSSスコア」を条件に検索することも可能です。
yamoryは独自のアプローチで、CVSSだけでは担保できない対策をカバーします。なお、オートトリアージ機能に関しては米国特許を取得しています。これは技術力・信頼度の証であり、安心してyamoryをご利用いただけるでしょう。
「使いやすいセキュリティ対策サービスを探している」「継続的なセキュリティ・シフトレフトを実現したい」という場合は、ぜひご検討ください。
