CVSSの有効性について

CVSSのスコアは脆弱性の危険度(どの脆弱性を優先して直すか)を測る基準として相応しいのでしょうか？
CVSSはおおよそ0~~3.9なら安全、4~~6.9なら注意が必要、7~10は非常に危険、という感じで脆弱性の危険度を測ることが多いと思います。
しかし、このスコアが本当に信頼できるものなのか疑問なのです。

CVSSの各スコアは「攻撃区分」などのパラメーターを決めることで値が上下します。
例えば「攻撃区分」をローカルからネットワークに変更すると１前後値が変化します。
この「１」にはどのような理由があるのでしょうか？
私としてはいい加減な理由で、この変化が決められているように感じます。

私の調べた限りでは、この攻撃区分の変化が全体(0.0~10.0)の中で１前後を占める理由がどこにも示されていない気がします。
また、個々のシステムの状況によって、ローカルかネットワークかはまったく重要度が異なるとも考えます。
もちろんこれは環境評価基準を使用しても同様かと考えます。

そして各パラメーターのスコアの積み上げで最終的なスコアが決まるというのも、低いスコアが安全であるという理由になっていない気がします。

CVSSは平均的な状況下での、おおよその脆弱性の危険度を示しているとは思いますが、自分のシステムに対する危険度は(例え環境評価基準であっても)示せないのではないでしょうか？

これらの理由から、システムの脆弱性対応の優先度をCVSSを元に行うことについて疑問に思いました（多くの企業ではCVSSを元に対応を決めていると聞いています）。

行動規範の内容に同意します

回答1件

個別のシステムではCVSSのスコアに関係無く、その脆弱性によってシステムにどのような影響を与える可能性があるかで判断します。スコアはあくまで参考値で、重要なのは脆弱性の中身と言うことです。

たとえば、サーバーにユーザーがログインしたとき(ローカル上で実行したとき)のみroot権限奪取の攻撃が成功する脆弱性について考えてみます。

AVとしては「ローカル」区分ですから、スコアも低くなるでしょう。ほとんどのシステムはサーバーへのログインは管理者のみであり、別の攻撃で管理者が使うアカウント情報が奪取されて使われた、サービスのプロセスが乗っ取られてSE Linuxの保護も突破された、と言ったことがない限りその脆弱性が悪用されることはないと考えられます。ということで、一般的なシステムでは対応の優先度は低くするでしょう。

ですが、たとえば、多数の一般利用者がSSHでログインできるようにしているサーバーの場合はどうでしょうか？そんなシステムはないと思うかも知れませんが、大学などでは割とよくありますし、中にはインターネットに公開している場合すらあります。管理者に比べて一般利用者がアカウント情報を漏らしてしまう可能性は極めて高いです。パスワードの使い回しやフィッシングなどで簡単に取られてしまうからです。つまり、先程のシステムに比べて攻撃の成功率が極めて高いことになります。一般利用者のアカウントが乗っ取られただけではその利用者の情報を取られるだけぐらいで済むはずだった被害が、root権限奪取によってサーバー利用者の情報を全て取られたり、また、フィッシング用Webサイト開設やスパム配信等にも利用されるかもしれません。つまり、脆弱性に対応していたかどうかでその被害は雲泥の差です。ということで、このようなシステムではCVSSのスコアに関係無く、可能な限り早く対応を行うことが望ましいとなります。

このように、システム個別で見れば、CVSSのスコアに関係無く対応の優先順位を決めなければなりません。しかし、ソフトウェアの開発などでは全ての顧客の個々の影響まで考えることは不可能です。それでも、開発のリソースは有限ですので、優先順位は必要です。CVSSのスコアは高ければ高いほど影響を受けやすい利用者が増えるようになっていますので、CVSSのスコアを対応優先順位決定の基準の一つに用いるのは不思議ではありません。(ただ、最終的な優先順位はそのソフトウェア自体への影響度も勘案して決めることになるでしょう)

なお、とある企業が脆弱性対応についてCVSSのスコアが一定以上の場合だけにさせてほしいと言ってきましたが、上記のようにシステム個別で判断するときはCVSSのスコアなど意味が無いという理由で、そのような対応基準は受け入れられないと突き返しました。

投稿2019/09/28 08:50