Red Hat Summit概要
共通脆弱性識別子 (CVE) とは、一般公開されているコンピュータセキュリティの欠陥のリストのことです。CVE と言えば、CVE ID 番号を割り振られた特定のセキュリティの欠陥を意味します。
ベンダーやリサーチャーが発行するセキュリティ・アドバイザリーは、ほとんどの場合、少なくとも 1 つの CVE ID に言及しています。CVE は、IT 専門家たちが協力し合って脆弱性に優先順位をつけて対策を探り、コンピュータシステムをより安全なものにしていく役に立っています。
時間がない人のための要約
読む時間がない場合は、こちらの CVE に関する短い動画をご覧ください。
CVE システムの仕組み
CVE プログラムの管理は、米国国土安全保障省の一機関であるサイバーセキュリティおよびインフラストラクチャ・セキュリティ庁 (CISA) から資金援助を受けて MITRE 社が行っています。
CVE のエントリーは簡潔で、技術情報、リスク関連情報、影響、修正方法は含まれません。このような詳細情報は U.S. National Vulnerability Database (NVD) や CERT/CC Vulnerability Notes Database といったデータベースや、ベンダーその他の組織が管理するさまざまなリストで確認できます。
これらの異なるシステムにおいて、ユーザーは CVE ID によって確実に固有の脆弱性を認識し、セキュリティツールおよびソリューションの開発を調整することができます。CVE リストの保守は MITRE 社が行いますが、CVE エントリーとなるセキュリティの欠陥は、多くの場合、オープンソース・コミュニティの組織やメンバーが提出します。
CVE ID について
CVE ID は CVE 採番機関 (CNA) によって割り振られます。現在ではおよそ 100 の CNA が登録されており、Red Hat、IBM、シスコ、Oracle、マイクロソフトなどの主要な IT ベンダーのほか、セキュリティ企業やリサーチ組織が名を連ねています。MITRE 社が直接 CVE を発行することもあります。
各 CNA には CVE のブロックが発行され、新しい脆弱性が発見されると確保している中から番号が割り振られます。CVE ID は毎年数千単位で発行されています。オペレーティングシステムなどの複雑な製品では、1 つの製品に数百の CVE が発行されることもあります。
CVE の報告はあらゆるところから届きます。ベンダーやリサーチャーから報告が上がることもあれば、熱心なユーザーが欠陥を発見して誰かに伝えることもあります。多くのベンダーでは、バグの発見に報奨金を出して、セキュリティの問題が無責任に拡散されないようにしています。オープンソースソフトウェアで脆弱性を発見した場合は、コミュニティに報告してください。
報告された情報は、何らかのルートで CNA に届きます。CNA はその情報に CVE ID を割り振り、簡単な説明と参照情報を追加します。その後、新規の CVE が CVE の Web サイトで公開されます。
多くの場合、CVE ID は、セキュリティ・アドバイザリーが公開される前に割り振られます。一般的に、ベンダーは対策の開発とテストが終了するまでセキュリティ問題の情報を公開しません。これにより、未対応の問題が攻撃者に利用されないようにします。
公開された CVE エントリーには、CVE ID (「CVE-2019-1234567」の形式)、セキュリティ脆弱性または露出の簡単な説明、および参照情報 (報告やアドバイザリーへのリンクなど) が含まれます。
CVE の条件
問題に CVE ID を割り振るには、いくつかの条件を満たす必要があります。
1.個別に修正可能であること。
他のバグとは関係なく、単独で修正できなくてはなりません。
2.当事者たるベンダーが認めているか、文書化されていること。
ソフトウェアまたはハードウェアのベンダーが、そのバグの存在と、セキュリティに悪影響があることを認めていなくてはなりません。あるいは、報告者が、そのバグにより悪影響がもたらされ、かつ、そのバグが該当システムのセキュリティポリシーを侵害するものであることを示すレポートを公開していなくてはなりません。
3.1 つのコードベースに影響するものであること。
その問題が複数の製品に影響を及ぼすものである場合、それぞれについて個別の CVE が発行されます。共有のライブラリ、プロトコル、または標準に関する問題の場合、その脆弱性の影響を受けずに共有コードを使用する方法が存在しなければ、単一の CVE が発行されます。そうでなければ、影響を受けるコードベースまたは製品ごとに個別の CVE が発行されます。
Red Hat のセキュリティに関する最新情報を入手する
共通脆弱性評価システムとは
脆弱性の重大度を評価する方法は複数存在します。そのうちの 1 つが、脆弱性の重大度を評価する尺度を数値として割り当てるオープンスタンダードである共通脆弱性評価システム (CVSS) です。CVSS スコアは、NVD、CERT などが脆弱性の影響を評価するために使用します。CVSS の重大度スコアは 0.0 から 10.0 の値を取り、数字が大きいほど重大な脆弱性であることを示します。この他にも、多くのセキュリティベンダーが各社独自のスコアシステムを持っています。
覚えておくべき 3 つのポイント
自社のデプロイメントを知る: CVE が存在しても、そのリスクがそのまますべての環境やデプロイメントに当てはまるとは限りません。個々の CVE をよく読み、自社環境のオペレーティングシステム、アプリケーション、モジュール、構成に該当するか (あるいは部分的に該当するか) を確かめ、自社に当てはまるかどうかを判断しましょう。
脆弱性管理を実施する:脆弱性管理とは、脆弱性の識別、分類、優先順位付け、修正、緩和のための、反復可能なプロセスのことを言います。これは、対策が必要な脆弱性を正しく優先順位付けできるよう、リスクが自組織にどのように該当するかを理解することを意味します。
連絡の体制を作っておく: CVE は、脆弱性自体とその対策のためのダウンタイムという 2 つの面から、組織のシステムに影響を与えます。内部顧客に連絡して調整を行い、組織のリスク管理部門に脆弱性について伝えられるようにしておきましょう。
Red Hat と CVE
オープンソース・ソフトウェアの主要コントリビューターである Red Hat は、継続的にセキュリティコミュニティに参加しています。Red Hat は CVE 採番機関 (CNA) の一員であり、CVE ID を使用してセキュリティ脆弱性のトラッキングを行っています。Red Hat Security はセキュリティアップデートの公開データベースを維持しています。このデータベースは頻繁に更新され、CVE 番号で参照できます。
Red Hat Security Data API とは
Red Hat 製品セキュリティは、[Security Data] ページにある未加工のセキュリティデータへの Security Data API によるアクセスを提供します。これらのデータはマシンで使用可能な形式です。
Red Hat が作成するセキュリティレポートとメトリクスに加えて、お客様はこの生データを使用し、お客様固有の状況に応じた独自のメトリクスを作成できます。
Security Data API が提供するデータには、OVAL (Open Vulnerability and Assessment Language) 定義、Common Vulnerability Reporting Framework (CVRF) ドキュメント、および CVE データが含まれます。データは XML または JSON 形式で利用できます。
