CVSS 4.0：パッチの優先順位つけに多様なコンテキストを提供

CVSS 4.0 Offers Significantly More Patching Context

2023/11/08 DarkReading — 先週にリリースされた Common Vulnerability Scoring System の最新版である CVSS 4.0 により、それぞれの組織は、セキュリティ・バグが特定の環境にもたらす可能性のあるリスクを、より適切に評価／管理できるようになるはずだ。しかし、CVSS 4.0 が本当に役に立つかどうかは、CVSS 4.0に含まれる新しいメトリクスの全てを使用して、よりスマートな脆弱性の優先順位付けに必要な、コンテキストを構築する意欲と能力にかかっている。

Critical Start の Senior Manager, Cyber Threat Research である Callie Guenther は、「以前のバージョンの CVSS は、より一般化されたリスク評価を提供していた。 今回の新しいスコアは、現在の脅威や脆弱性が置かれている特定の環境における、実際のリスクを反映する動的な文脈に応じた評価の必要性に対応している」と述べている。

ギャップを埋める

CVSS のメンテナンスである Forum of Incident Response and Security Teams (FIRST) は、2023年6月にモントリオールで開催された FIRST の年次会議で CVSS 4.0 をプレビューし、その後に CVSS 4.0 を正式発表した。この新バージョンにおける最大の進化は、脆弱性アナリストが、脆弱性の技術的な深刻度 (ベーススコア) だけでなく、その他の要因を考慮できるようにするための、いくつかのメトリクスを盛り込んだことである。

たとえば、CVSS 4.0で重視されるのは、PoC エクスプロイト・コードの入手可能性や、脅威アクターたちの活動などの要因に基づき、特定の脆弱性の深刻度を調整できるようにすることだ。それにより管理者は、脆弱性の深刻度スコアを特定の環境に合わせて。さらに絞り込むことが可能になる。

また、脆弱性の深刻度を評価する際に考慮する、唯一の指標である基本指標自体にも、攻撃要件を考慮できるようにするための、２つの新たなコンポーネントが追加された。

Callie Guenther は、「これらの差別化されたスコアにより、固有のリスク (Base)／現在の脅威の状況 (Base+Threat)／ 特定の環境要因 (Base+Environment) を考慮しながら、脆弱性を多層的に評価できる。それにより、よりカスタマイズされたリスク管理アプローチが可能になる」と述べている。

CVSS 4.0は、サプライチェーン・リスクなどの、特定の脆弱性における潜在的な範囲を、より詳細に指定できるようになっている。以前のバージョン (CVSS 3.1) では、システムの機密性／完全性／可用性に脆弱性与える影響を、一般的に評価するのみであった。CVSS 4.0 は、脆弱性修復チームに対して、環境内の特定のシステムや、そのシステムに接続される可能性のある下流システムへの、脆弱性の影響を評価する方法を提供するためのメトリクスを取り込んでいる。

後続システムのための詳細なコンテキストを可能にする

Qualys の Security Research Manager である Mayuresh Dani によると、より詳細なコンテキストを提供するための努力は、組織における茫洋としたインフラと関連しているとのことだ。

たとえば、以前の CVSS では、機密性／完全性／可用性が考慮されていた。その一方で、新たに修正された基本メトリクスは、システムの機密性／完全性／可用性の加えて、後続システムの機密性／完全性／可用性を取り込むようになっている。この内訳により、組織は脆弱性の影響を、脆弱性のあるシステムと、影響を受ける後続システムに基づいて把握できるようになる。

さらに、CVSS 4.0 では、オプションの補足メトリックの、新しいセットも導入されている。そこには、脆弱性が自動化された方法で悪用される可能性や、物理的なセキュリティ・リスクの可能性などが取り込まれている。そのため、情報セキュリティと脆弱性管理のチームが、脆弱性への対応で優先順位をつける際に役立つ。補足カテゴリの指標の一部には、ソフトウェアの脆弱性が物理的な安全性を脅かす可能性がある、OT および ICS 環境で特に役立つものがある。

また、CISA の KEV (Known Exploited Vulnerabilities) カタログや、FIRST の EPSS (Exploit Prediction Scoring System) のようなツールと CVSS 4.0 を併用することで、脆弱性の管理が合理化される。ただし、組織に残された課題は、ソフトウェア・ベンダーの脆弱性に対する CVSS スコアを取得し、その脆弱性に関連する内部システムからの追加的なコンテキストを、すべて重ね合わせることである。

Nucleus の Senior Researcher and VP である Patrick Garrity は、「スコアリング・システムが銀の弾丸になると期待するあまり、実際には正しい方向性を示すだけのコンパスなってしまうことがある。脅威インテリジェンスと人間による分析を取り入れることは、非常に価値のあることだ。ただし、スコアリング・システムに全て判断を委ね続けることはできない。どこかの時点で、誰かが介入し、何らかの作業を行う必要がある」と指摘している。

CVSS 4.0 の深刻度スコアは高くなるかもしれない

FIRST が CVSS 3.0 をリリースしたときは、脆弱性スコアリングに導入された変更により、脆弱性の平均スコアは大幅に上昇した。Cisco が 3,862件の脆弱性を調査したところ、脆弱性の平均ベース・スコアは CVSS 2 の 6.5 から、CVSS 3 では 7.4 に上昇し、1,077件の脆弱性の深刻度が Low／Medium から High／Critical に移行した。それは、CVSS 4.0 の導入でも起こりうることだ。

2023年6月に FIRST が、CVSS 4.0をプレビューした際に、Garrity は CVSS 3.0／3.1で採点された脆弱性を、バージョン 4.0 の計算式で再計算した。その結果として、CVSS のスコアが全体的に上昇する可能性が高いことが判ったという。

Garrity は、「基本スコアのみを使用した場合には、スコアは全体的に情報する傾向にある。その結果として、多くの脆弱性が High／Critical に分類されるかもしれない。そのため組織は、資産価値や悪用可能性などの要素を考慮し続ける必要がある。脆弱性酒精の優先順位を決定する上で、CVSS の基本スコアだけに依存することは推奨されない。そこに注意することが、きわめて重要である」と述べている。

具体的に言うと、NVD が２種類の CVSS バージョンでスコア付けした脆弱性に対して、ユーザー組織が優先順位を付ける場合に特に重要である。今後においても、NVD が CVSS 3.0／3.1 をデータベースに取り込むことを考慮すると、情報セキュリティとインシデント対応のチームは、最新バージョンに基づいてバグに優先順位をつけるべきだ。また、深刻度スコアだけに依存するのではなく、CISA KEV／EPSS／商用脅威インテリジェンスの優先順位付けなどのソースを優先すべきでだと、Garrity は指摘する。

CVSS のバージョンごとにスコアの基準が異なるため、CVSS バージョン間でスコアをダイレクトに比較すべきではない。その代わりに、各脆弱性のコンテキストを評価する必要があると、Callie Guenther は補足している。

彼女は、「新しいフレームワークのニュアンスにより、CVSS 4.0 スコア 7 が、3.x スコアよりも、包括的なリスク分析を反映している可能性がある。3.x の高いスコアと、4.0 の低いスコアの間の差異についても同様である。スコアだけではなく、メトリクスのコンテキストと詳細が優先順位付けの指針となる必要がある」と付け加えている。

CVSS 4.0 の正式発表については、2023/11/01 の「CVSS 4.0 を FIRST が正式発表：何が変わり 何が加わるのか？」が第一報となりますが、今日の記事は、さらに掘り下げたものになっています。DarkReading には、いつもお世話になります。というわけで、お隣のキュレーション・チームにも聞いてみましたが、いろいろと対策を考えているようでした。それぞれのベンダーと、脆弱性情報ポータルなどが、CVSS 4.0 に対応するには半年くらい掛かると見ているようです。