CVSS
① 物語性を取り入れた説明
ユウコと先生の会話
ある日、ユウコは学校の情報科の授業で「CVSS(Common Vulnerability Scoring System)」という言葉を初めて聞きました。先生がわかりやすく説明を始めました。
「みんな、CVSSというのは、コンピュータシステムやソフトウェアの脆弱性の深刻さを評価するためのシステムなんだよ」と先生は言いました。「例えば、よね。同じように、コンピュータやソフトウェアのセキュリティも評価する必要があるんだ。」
ユウコは興味を持ちました。「なるほどー。でも、具体的にどうやって評価するの?」
「CVSSは、脆弱性の影響度を数値化するために、いくつかの基準を使って評価するんだ」と先生は続けました。「例えば、脆弱性がどれだけ広く利用される可能性があるか(攻撃元区分 AV:Attack Vector)、どの程度の影響があるか(影響スコア)、そしてその脆弱性を修正するのにどれだけの努力が必要か(複雑さ AC:)などだ。それらがシステムの機密性・完全性・可用性にどの程度影響を与えるかなど複数の基準に基づいて計算されるんだ。」
「なるほど、それで安全性を数値で表すことができるんだね」とユウコは理解しました。
「その通りだよ、ユウコ」と先生は微笑んで続けました。「CVSSスコアは0から10までの範囲で表されるんだ。スコアが高ければ高いほど、その脆弱性が深刻だということを意味するんだ。例えば、銀行のシステムに重大な脆弱性が見つかった場合、そのスコアは非常に高くなるんだ。」
「じゃあ、どのようにしてこのスコアを使うの?」とユウコは興味津々に聞きました。
「企業や組織は、CVSSスコアを使ってどの脆弱性を優先的に修正するかを決定するんだ」と先生は答えました。
「例えば、スコアが9.0以上の高い脆弱性は即座に対応が必要とされるし、スコアが3.0以下の低い脆弱性は後回しにすることができるんだ。しかもこれは国際的なリスク評価基準で世界中の組織やシステムで採用されているんだよ。次の表のような基準で算出するんだよ。」
CVSSスコアの表
| 要素 | 説明 | 値の範囲 |
|---|---|---|
| 攻撃元区分:AV Attac Vcetor | 攻撃がどの程度簡単に実行できるか | ネットワーク、隣接、ローカル、物理的 |
| 攻撃複雑度:AC Attack Complexity | 攻撃が成功するためにどの程度の専門知識が必要か | 低い、高い |
| 特権の必要性:PR Privileges Required
| 攻撃者が成功するためにどの程度の特権が必要か | なし、低い、高い |
| ユーザーの関与:UI User Interaction | 攻撃が成功するためにユーザーの関与が必要か | なし、必要 |
| 機密性への影響 | 機密性に対する影響の度合い | なし、低い、高い |
| 完全性への影響 | 完全性に対する影響の度合い | なし、低い、高い |
| 可用性への影響 | 可用性に対する影響の度合い | なし、低い、高い |
ユウコはさらに深く理解しました。「なるほどー。あれ、この機密性・完全性・可用性って前にならったような気が・・」
情報セキュリティの三要素
「よく気が付いたね、ユウコ。情報セキュリティには三要素があるんだ。それは、機密性、完全性、そして可用性だよ」と先生は答えました。「機密性は、データが許可された人だけにアクセスできること。例えば、パスワードを知っている人だけがそのデータにアクセスできるということだね。完全性は、データが正確で変更されていないこと。例えば、送信したメールがそのままの内容で相手に届くことだよ。そして、可用性は、必要なときにデータやシステムにアクセスできること。例えば、いつでもオンラインバンキングが使えることがこれに当たるんだ。」
ユウコは納得しました。「CVSSはこれらの三要素を考慮して、脆弱性を評価するんだね。」
「その通りだよ、ユウコ。情報セキュリティの三要素を理解していると、CVSSの評価もより深く理解できるんだ」と先生は説明しました。
CVSSの定義
② 実際の事例
企業でのCVSS使用例
多くの企業では、CVSSを利用してシステムの脆弱性を管理しています。例えば、大手金融機関では、ネットバンキングシステムの脆弱性を定期的にスキャンし、CVSSスコアを基に優先順位をつけて修正を行っています。
具体的には、脆弱性スキャンツールを使用してシステム内の脆弱性を特定し、それぞれの脆弱性に対してCVSSスコアを割り当てます。スコアが高い脆弱性については、即座に対策を講じることで、顧客のデータを保護し、システムの安全性を高めています。
また、IT企業では、ソフトウェア開発プロセスの一環としてCVSSを利用しています。新しいソフトウェアをリリースする前に、脆弱性評価を行い、発見された脆弱性に対してCVSSスコアを付けます。
これにより、開発チームはどの脆弱性を優先的に修正すべきかを判断し、リリース前に重大なセキュリティ問題を解決することができます。このような取り組みにより、ユーザーに対してより安全なソフトウェアを提供することが可能になります。
自治体でのCVSS使用例
自治体でもCVSSを活用して、住民の個人情報を保護しています。
例えば、ある市役所では、住民の個人情報を管理するシステムの定期的な脆弱性評価を行っています。CVSSスコアを基に、システム内の脆弱性を優先順位づけし、必要な修正を迅速に実施しています。このプロセスにより、個人情報の漏えいや不正アクセスのリスクを最小限に抑え、住民の信頼を維持することができます。
また、教育機関でもCVSSを導入しています。大学のIT部門では、学生や教職員のデータを保護するために、ネットワークやシステムの脆弱性評価を行い、CVSSスコアを使用してセキュリティ対策を実施しています。これにより、教育環境の安全性を確保し、安心して学習や研究ができる環境を提供しています。
④ CVSS関連の資格:情報セキュリティマネジメント
情報セキュリティマネジメントの資格は、CVSSの理解と実践において非常に役立ちます。この資格は、情報セキュリティに関する知識を深め、実務でのセキュリティ管理を効果的に行うためのスキルを証明します。以下は、情報セキュリティマネジメント資格の主な内容です。
資格内容
- 情報セキュリティの基礎:機密性、完全性、可用性の三要素を含む基本概念
- リスク管理:リスク評価、リスク対応策の策定と実施
- セキュリティポリシーの策定:組織のセキュリティポリシーの作成と運用
- 法規制と標準:情報セキュリティに関連する法規制や国際標準の理解
- インシデント対応:セキュリティインシデントの検出、対応、報告
取得のメリット
- キャリアアップ:セキュリティ専門家としてのキャリアを築くための基盤
- 実務への応用:企業や組織におけるセキュリティ対策の実施に直接役立つ
- 信頼性の向上:顧客やパートナー企業からの信頼性が向上
取得に役立つスクール
【オンスク.JP】
では、情報セキュリティマネジメント資格を含む様々な資格学習が1,628円で受け放題のコースが提供されています。
・スマホでもPCでも、マルチデバイス対応でどこでも学習が可能
・資格の学校TACのノウハウが凝縮された充実の講義ムービー
・過去問を徹底分析した問題演習機能
③ クイズや小テスト
クイズ1 CVSSは何を評価するためのシステムですか?
A. コンピュータの速度
B. ソフトウェアの価格
C. 脆弱性の深刻度
クイズ2 CVSSスコアはどの範囲で表されますか?
A. 0から5
B. 0から10
C. 0から100
クイズ3 CVSSスコアが高い場合、何を意味しますか?
A. 脆弱性が深刻である
B. システムが高速である
C. ソフトウェアが安価である
回答
- C. 脆弱性の深刻度
- B. 0から10
- A. 脆弱性が深刻である
応用情報技術者試験 令和3 秋 午前問41
