ワールドニュース

米国ニュース


FIRST、新たな脆弱性評価標準システム(CVSS)の採用を呼びかけ

シスコをはじめ、eBay、Internet Security Systems、Qualys などがネットワークの脆弱性を測定および解決するための、ベンダーにとらわれない言語を設計

2005 年 9 月 19 日、米ノースカロライナ州リサーチトライアングルパーク発

FIRST(Forum of Incident Response and Security Teams)と業界のリーダーたちが、グローバルな情報技術(IT)コミュニティーのあらゆる機関に対して、初めて実現したCVSS(Common Vulnerability Scoring System : 脆弱性深刻度を評価するための標準システム)をテストするように呼びかけました。FIRSTは、世界中の政府、法執行機関、商業団体、教育機関、その他を代表してコンピュータ セキュリティ関連のトラブルに対応しているチームの非営利ネットワークです。FIRST は CVSS の最新状況に関するニュースの収集および配信を行っており、さまざまな業界のセキュリティ プロフェッショナルやビジネス エグゼクティブ、エンドユーザーに、ネットワーク対応情報システムの脆弱性測定ならびに対応の優先順位付けを行うための標準的な言語を提供することを目指しています。

CVSS は、NIAC(U.S. National Infrastructure Advisory Council :米国国家インフラストラクチャ諮問委員会)に協力する、シスコシステムズや eBay、Internet Security Systems、Qualysといった業界のリーダー企業が共同で設計したものです。CVSS は、7 つの基本的なメトリクスに時間および環境に基づいたメトリクスを組み合わせ、脆弱性によって被る全体的なリスクを総合評価するという、シンプルかつオープンで、ベンダーにとらわれないシステムとなっています。

「CVSS は、互換性のない評価システムが複数存在しているという問題を解決するだけでなく、誰にとっても使いやすく、わかりやすいものとなっています。フレームワークが始まったばかりなので、グローバルな IT コミュニティーの機関に実際に参画していただき、フィードバックを寄せていただく必要があります。FIRST の目標は、スコアシステムの使いやすさを向上させ、あらゆる業界で受け入れられることにあります」と、FIRST のCVSS プロジェクト マネージャーで、シスコの Computer Security Incident Response Team の一員でもある、ギャビン・リード(Gavin Reid)は述べています。

FIRST の CVSS 特別関係者グループの第 1 回の会議では、Assuria、CERT/CC、シスコシステムズ、IBM、Internet Security Systems、JPCERT/CC、netForensics、Pentest Ltd.、Qualys, Sintelli、Skybox Security、Unisys といった、システムの初期導入企業が、システムのテストを行い、自社内での使い方について検討することを確認しました。また、7 月のシンガポールのミーティングでは、30 以上の政府およびベンダーの代表者が出席しました。

「セキュリティ業界は、脆弱性と脅威を把握するための共通言語の構築に取り組んでおり、CVSS を通じて信じられないくらいの発展を遂げています。すでに数多くの組織が CVSS に取り組んでおり、実際に導入を始めています。FIRST チームのリソースおよび活動により、この構想は、幅広い機関での導入という次のレベルに発展するようになるでしょう」と、CVSS の設計者の 1 人で、Qualys の最高技術責任者のゲルハルト・エッシェルべック(Gerhard Eschelbeck)氏は話しています。

IT スペシャリストの皆様で、CVSS への参加方法を知りたい方、ならびにエンドユーザーがスコアリングを行うための CVSS のフレームワークおよびツールを検討したいとお考えの方は、以下の Web サイトをご参照ください。http://www.first.org/cvss

CVSS について

2005 年 2 月 23 日に米国国土安全保障省の Web サイトで初めて紹介された CVSS は、ネットワーク脅威に対する共通の理解を広めようという、NIAC の活動より発展したものです。2004 年 1 月に発行された報告書において、 NIAC は、脆弱性を「情報システムの機密性、完全性あるいは可用性の潜在的あるいは明白な不全を引き起こす場合がある、一連の条件」と定義しています。この報告書では、ハードウェアあるいはソフトウェアの欠陥、不完全な管理プロセス、情報セキュリティに関する意識および教育の欠如、および/または普段履行されている行動の不履行が脆弱性を引き起こす可能性がある、としています。その結果は、NIAC の報告によれば、次のようになります。

  • あるユーザーが他のユーザーと同じコマンドを実行できるようになる、あるいはそのような事態が発生する。
  • 所定の許可レベルではアクセスできないデータにアクセスできるようになる。
  • 異常なサービス妨害、不認可のデータ破壊(故意あるいは不注意のいずれの場合も含む)
  • 暗号の弱点の悪用

現在では、脆弱性の評価を行うためのさまざまなシステムが使用されています。「自家製」と呼ばれることの多いこれらシステム(つまり、特定の組織のために、その組織の特定の IT 部門が開発したシステム)は、さまざまなメトリクスが使用されており、インターネット中心の傾向があり、変化に対応するための共通の方法がなく、リスク因子が変化しても運営環境を変えることができません。CVSS 開発チームは、このような欠点を克服し、誰もが、どのような運営環境においても自由かつ簡単に使えて、潜在的な脆弱性を測定できるシステムを作り上げたいと考えていました。CVSS の方式で重要視されているメトリクスとしては、システムの可用性、データの機密性および完全性に対するインパクトとともに、脆弱性が悪用される可能性および巻き添えの被害が起こる可能性があります。

NIAC は、米国大統領への政策提言を役割としています。グローバルな脆弱性報告フレームワークのニーズに着目すると、NIAC は、共通の評価システムの開発を提言し、それが現在の CVSS となりました。脆弱性開示フレームワークと CVSS はともに、グローバルなユーザーによる使用を前提としています。NIAC は、上記のような一般向けの報告書を発行しており、そのなかでは米国大統領に対する具体的な提言の内容が記されています。NIAC の報告書は、以下の Web サイトで入手可能です。http://www.dhs.gov/niac/

FIRST について

FIRST では、この新しい標準を採用してもらうためには、グローバルレベルのアプローチが最善の戦略であると考えています。FIRST は、その組織内で定期的に行われる国際的なコラボレーションを通じて、メンバー団体の内外で CVSS の導入を推進し、同時にこの規格を継続的に発展させるという、ユニークな役割を担っています。その活動の一環として、FIRST では、優れた品質のセキュリティ関連製品、ポリシーならびにサービス、およびコンピュータ セキュリティの最適事例(ベスト プラクティス)の開発を推奨および促進しています。

関連情報

CVSS プロジェクトに関する詳しい情報は、 http://www.first.org/cvss または http://www.first.org/cvss/cvss-guide.htmlでご覧いただけます。

FIRSTに関する詳しい情報はhttp://www.first.org または http://www.first.org/about/ でご覧いただけます。

▲Return to Top

お問い合わせ