はじめての方向け CVE 入門 CVEID や MITRE などもまとめて紹介
「CVE」 をご存知ですか?
セキュリティや不正アクセスなどについて調べていると、脆弱性という言葉とともに出てくることが多い単語です。「CVE-XXXX-XXXX」のような形式で目に入ることが多いのではないでしょうか。
CVE について簡潔に解説すると以下の通りとなります。
「CVE」
CVE (Common Vulnerabilities and Exposures: 共通脆弱性識別子)とは、 情報セキュリティにおいて、システム・ソフトウェア、Webアプリケーション上の各々の脆弱性やエクスポージャー(システム上の攻撃可能な不備など)に対し、一意の番号を付与、 リスト化した辞書です。
「CVE ID」
CVE ID(CVE識別番号)は上記の CVE に登録される際に脆弱性やエクスポージャーに対し付与される一意の識別番号です。
「CVE-XXXX-XXXX」という形式で付与されます。
「MITRE」
MITRE(マイター)は情報セキュリティを専門とする政府系研究開発センターを運営し、米国政府への技術支援などを行っている非営利組織です。
本記事では「CVE」「CVE ID」「MITRE」について、サイバーセキュリティや脆弱性対策の観点からそれぞれ解説していきます。
「CVE」 とは
読み方は「シーブイイー」です。
正式には「Common Vulnerabilities and Exposures」(共通脆弱性識別子)の略であり、各ベンダーや開発者から報告されたIT製品やソフトウェア、OSS などの脆弱性(Vulnerabilities)やエクスポージャー(Exposures)※注1 の情報をまとめてリスト化した辞書です。
※注1 エクスポージャー: (攻撃者がシステムまたはネットワークへの足がかりとして使用できる情報または機能へのアクセスを可能にするシステム構成の問題またはソフトウェアの不備のこと)
CVE に登録された情報についてはCVEのWebサイトから誰もが無料で確認、利用することができます。
CVE に関する知識として重要なのは、CVE は脆弱性やエクスポージャーへの対策情報などの詳細が登録されたデータベースではないという点です。
CVE に登録される情報には対象の脆弱性やエクスポージャーに関する「リスク」「影響度や危険性」「修正/対策情報」などは含まれていません。
CVE には以下の項目のみが含まれています。
説明 |
|
|---|---|
CVE-ID |
CVE 識別番号 ※詳細は後述 |
Description |
脆弱性 / エクスポージャーそのものの簡易な説明 |
References |
参考情報 URL(あくまで対象の CVE とその他の脆弱性情報の区別をしやすくするための情報であり、完全性などは保証されない) |
Assigning CNA |
対象の CVE を登録した CNA(CVE 番号付け機関)の名称 |
Date Entry Created |
CVE ID が付与された日時 |
これは CVE のそもそもの目的が以下の 2 つであることが関係しています。
- 識別可能性の確保 … 個々の脆弱性に固有の CVE 識別番号を割り当て、CVE 識別番号によって脆弱性を識別可能とすること
- 命名…個々の脆弱性に(業界標準的な)名前を付けること
これらを一般に提供することでサイバーセキュリティやサイバー攻撃に対する情報連携を効率化し、実際の対策面は外部サイトや他の脆弱性データベースやセキュリティ機関に任せるというのが CVE の立ち位置として見られます。
なお、この目的などについては MITRE 社が提供する CVE の WEB サイト上にも記載されています。
脆弱性の対策などを含んだ情報登録がなされている脆弱性情報データベースの代表例としては、NIST(National Institute of Standards and Technology: アメリカ国立標準技術研究所)](https://www.nist.gov/) が管理する[NVD(National Vulnerability Database)が存在します。
NVD は CVE に登録された脆弱性やエクスポージャーに紐付ける形で以下のような情報を提供します。
- 対象の脆弱性やエクスポージャーの分析に関するステータス
- 紐付けられた CVE の説明と URL
- 対象の脆弱性やエクスポージャーが危険性などを示す影響度(CVSSなど)
- 参考情報への参照 URL
CVEはMITRE Corporation(後述)によって管理されています。
また DHS(United States Department of Homeland Security: 米国国土安全保障省)内の一部門である CISA (Cybersecurity and Infrastructure Security Agency)が後援しています。
「CVE ID」とは
CVE ID(CVE識別番号)とは CVE に登録された脆弱性 / エクスポージャーに対して付与される一意の識別番号です。
一意の識別番号を付与・公開することで、ある脆弱性に対して 2 つ以上の機関から対策情報の公開がなされた場合にも、同じ脆弱性に対して言及しているのだという識別が可能となります。
この CVE ID は「CVE-西暦-連番」のルールに則って採番されます。
※ 2013 年までは、「CVE-西暦-4桁通番」の形式で採番されていましたが、報告される脆弱性が増加し、年間で 1 万件を超えて 4 桁では足りなくなることが確実となりました。そのため、2014 年からは、通番部分が 4 桁以上と改定されています。
この「CVE ID」の採番はセキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成される CNA(CVE Numbering Authorities : CVE 番号付け機関)により行われています。
CNA は CVE に報告された脆弱性やエクスポージャーを評価し、登録に値するものに対して CVE ID の割り当て作業が行います。
CNA のメンバーについても CVE の公式サイトより公開されております。
CVE ID は毎年数千~数万単位で発行されます。
これは個々の製品に対して脆弱性やエクスポージャーが一つ一つ発見されるというだけではなく、たとえばオペレーティングシステムなどの複雑な製品では、1 つの製品や一つのソフトウェア上のライブラリなどに紐づく形で数百などの CVE が発行されることもあるためです。
ただし、報告された脆弱性やエクスポージャーが短時間ですべて CVE ID が採番され登録されるわけではありません。
一般的に脆弱性やエクスポージャーが報告された製品のベンダーは対策の開発とテストが終了するまでセキュリティ問題の情報を公開しないようにしています。
これは未対応の問題が攻撃者に利用されるゼロディ攻撃を防ぐためです。
なお、CVE の登録申請については CVE の公式サイトに専用の Web フォームが設置されています。
参考情報「MITRE」とは
MITRE(マイター)はサイバーセキュリティを専門とする政府系研究開発センターを運営し、米国政府への技術支援などを行っている非営利組織です。
CERT / CC や HP、IBM、OSVDB、Red Hat、Symantec など 80 を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない CVE ID を採番、管理しています。
※ CVE の元となるコンセプトは、CVE の共同作成者である MITER 社の David E. MannとSteven M. Christey によって、1999 年 1 月 21 〜 22 日、米国インディアナ州ウェストラファイエットのパデュー大学における「脆弱性の一般的な列挙に向けた研究ワークショップ」で発表されました。
その後 1999 年 9 月に CVE は一般に公開されました(当初の CVE リストの登録数は 321)
CVE の実際の脆弱性対策への活用方法
先述の通り CVE は最新のサイバー攻撃に対する脆弱性対策を行う際に大変重要な辞書、リストです。
修正パッチやアップロードといった公開された対策も元をたどっていくと殆どが CVE と紐付いています。
しかしながら日々 CVE から公開される脆弱性やエクスポージャーに関する情報の数量は先述したとおり膨大です。
またその影響度や重要性の高さや重みは個々にさまざまです。
これらすべてを人力や目視ですべて確認し、対策を立てていくことは不可能ではないにせよ、難しく、また多大な工数や時間がかかることでしょう。
また、その間にもサイバー攻撃につながる新たな CVE が登録され公開されていきます。
このような状況を踏まえ、最新のサイバー攻撃に対処するためにも、最新の脆弱性やエクスポージャーの情報を取得してくれる、セキュリティツールや脆弱性自動管理ツールなどを利用することで、サイバーセキュリティ対策を効率的にかつ安全に行える可能性が高くなります。
組織や企業のセキュリティ対策を考える際にぜひ一度ご検討ください。
