ある日、ユウコは学校の情報科の授業で「CVSS(Common Vulnerability Scoring System)」という言葉を初めて聞きました。先生がわかりやすく説明を始めました。
「みんな、CVSSというのは、コンピュータシステムやソフトウェアの脆弱性の深刻さを評価するためのシステムなんだよ」と先生は言いました。「例えば、よね。同じように、コンピュータやソフトウェアのセキュリティも評価する必要があるんだ。」
ユウコは興味を持ちました。「なるほどー。でも、具体的にどうやって評価するの?」
「CVSSは、脆弱性の影響度を数値化するために、いくつかの基準を使って評価するんだ」と先生は続けました。「例えば、脆弱性がどれだけ広く利用される可能性があるか(攻撃元区分 AV:Attack Vector)、どの程度の影響があるか(影響スコア)、そしてその脆弱性を修正するのにどれだけの努力が必要か(複雑さ AC:)などだ。それらがシステムの機密性・完全性・可用性にどの程度影響を与えるかなど複数の基準に基づいて計算されるんだ。」
「なるほど、それで安全性を数値で表すことができるんだね」とユウコは理解しました。
「その通りだよ、ユウコ」と先生は微笑んで続けました。「CVSSスコアは0から10までの範囲で表されるんだ。スコアが高ければ高いほど、その脆弱性が深刻だということを意味するんだ。例えば、銀行のシステムに重大な脆弱性が見つかった場合、そのスコアは非常に高くなるんだ。」
「じゃあ、どのようにしてこのスコアを使うの?」とユウコは興味津々に聞きました。
「企業や組織は、CVSSスコアを使ってどの脆弱性を優先的に修正するかを決定するんだ」と先生は答えました。
「例えば、スコアが9.0以上の高い脆弱性は即座に対応が必要とされるし、スコアが3.0以下の低い脆弱性は後回しにすることができるんだ。しかもこれは国際的なリスク評価基準で世界中の組織やシステムで採用されているんだよ。次の表のような基準で算出するんだよ。」
| 要素 | 説明 | 値の範囲 |
|---|---|---|
| 攻撃元区分:AV Attac Vcetor | 攻撃がどの程度簡単に実行できるか | ネットワーク、隣接、ローカル、物理的 |
| 攻撃複雑度:AC Attack Complexity | 攻撃が成功するためにどの程度の専門知識が必要か | 低い、高い |
| 特権の必要性:PR Privileges Required
| 攻撃者が成功するためにどの程度の特権が必要か | なし、低い、高い |
| ユーザーの関与:UI User Interaction | 攻撃が成功するためにユーザーの関与が必要か | なし、必要 |
| 機密性への影響 | 機密性に対する影響の度合い | なし、低い、高い |
| 完全性への影響 | 完全性に対する影響の度合い | なし、低い、高い |
| 可用性への影響 | 可用性に対する影響の度合い | なし、低い、高い |
ユウコはさらに深く理解しました。「なるほどー。あれ、この機密性・完全性・可用性って前にならったような気が・・」
「よく気が付いたね、ユウコ。情報セキュリティには三要素があるんだ。それは、機密性、完全性、そして可用性だよ」と先生は答えました。「機密性は、データが許可された人だけにアクセスできること。例えば、パスワードを知っている人だけがそのデータにアクセスできるということだね。完全性は、データが正確で変更されていないこと。例えば、送信したメールがそのままの内容で相手に届くことだよ。そして、可用性は、必要なときにデータやシステムにアクセスできること。例えば、いつでもオンラインバンキングが使えることがこれに当たるんだ。」
ユウコは納得しました。「CVSSはこれらの三要素を考慮して、脆弱性を評価するんだね。」
「その通りだよ、ユウコ。情報セキュリティの三要素を理解していると、CVSSの評価もより深く理解できるんだ」と先生は説明しました。
多くの企業では、CVSSを利用してシステムの脆弱性を管理しています。例えば、大手金融機関では、ネットバンキングシステムの脆弱性を定期的にスキャンし、CVSSスコアを基に優先順位をつけて修正を行っています。
具体的には、脆弱性スキャンツールを使用してシステム内の脆弱性を特定し、それぞれの脆弱性に対してCVSSスコアを割り当てます。スコアが高い脆弱性については、即座に対策を講じることで、顧客のデータを保護し、システムの安全性を高めています。
また、IT企業では、ソフトウェア開発プロセスの一環としてCVSSを利用しています。新しいソフトウェアをリリースする前に、脆弱性評価を行い、発見された脆弱性に対してCVSSスコアを付けます。
これにより、開発チームはどの脆弱性を優先的に修正すべきかを判断し、リリース前に重大なセキュリティ問題を解決することができます。このような取り組みにより、ユーザーに対してより安全なソフトウェアを提供することが可能になります。
自治体でもCVSSを活用して、住民の個人情報を保護しています。
例えば、ある市役所では、住民の個人情報を管理するシステムの定期的な脆弱性評価を行っています。CVSSスコアを基に、システム内の脆弱性を優先順位づけし、必要な修正を迅速に実施しています。このプロセスにより、個人情報の漏えいや不正アクセスのリスクを最小限に抑え、住民の信頼を維持することができます。
また、教育機関でもCVSSを導入しています。大学のIT部門では、学生や教職員のデータを保護するために、ネットワークやシステムの脆弱性評価を行い、CVSSスコアを使用してセキュリティ対策を実施しています。これにより、教育環境の安全性を確保し、安心して学習や研究ができる環境を提供しています。
情報セキュリティマネジメントの資格は、CVSSの理解と実践において非常に役立ちます。この資格は、情報セキュリティに関する知識を深め、実務でのセキュリティ管理を効果的に行うためのスキルを証明します。以下は、情報セキュリティマネジメント資格の主な内容です。
【オンスク.JP】
A. コンピュータの速度
B. ソフトウェアの価格
C. 脆弱性の深刻度
A. 0から5
B. 0から10
C. 0から100
A. 脆弱性が深刻である
B. システムが高速である
C. ソフトウェアが安価である