NTTデータ先端技術は2019年1月25日、ソフトウェアの脆弱性やセキュリティ事案に関する情報をユーザー企業に提供する「セキュリティ情報配信サービス」を強化すると発表した。各ベンダーが独自で算出していた脆弱性の深刻度情報に加えて、世界共通指標「CVSS Base Score」を実装した。脆弱性の重要度や緊急度を共有しやすくなった。同年1月28日から提供する。価格(税別)は、月額7万円。販売目標は2020年度までに500社を掲げている。
NTTデータ先端技術のセキュリティ情報配信サービスは、OSやソフトウェアに関するセキュリティ脆弱性の情報を、不正アクセスの統計や解説も含めて配信するサービスである。脆弱性を悪用された際におよぶリスク(深刻度)を把握できる。ユーザー専用のWebポータル画面およびメールを介して提供する(画面1)。ユーザー企業のCSIRT活動の1つである「セキュリティ関連情報収集」を支援するものとなる。
画面1:セキュリティ情報配信サービスの画面(出典:NTTデータ先端技術)拡大画像表示
今回、セキュリティ情報配信サービスを強化し、システムの脆弱性における世界共通の評価指標であるCVSS Base Scoreを実装した(図1)。これにより、自社システムの脆弱性がどの程度か、どの程度緊急で対応するべきかを、情報システム部門やセキュリティ専門家、エンドユーザーまで、万人が共通認識として共有できるようになった。
図1:各ベンダーが独自で算出していた脆弱性の深刻度情報に加えて、世界共通指標「CVSS Base Score」を実装した(出典:NTTデータ先端技術)拡大画像表示
サイバー攻撃から自社システムを守るためには、脆弱性の深刻度や緊急性について、関係者同士が共通の認識を持っている必要がある。これに対して従来は、脆弱性の深刻度を各ベンダーが独自で算出し、担当者によって深刻度の認識にばらつきが生じていた。この課題を解決すべく、共通の指標としてCVSS Base Scoreを追加した。
なお、CVSS Base Scoreは、Forum of Incident Response and Security Teams(FIRST)が管理しているシステム脆弱性深刻度の指標である。世界標準であるCVSS Base Scoreを参照できるようになることで、ベンダーや担当者個々人の知識・経験に依存することなく、脆弱性の深刻度を確認できる。
CVSS Base Scoreでは、システムに求められる3つのセキュリティ特性、すなわち(1)機密性(正当なユーザーだけがアクセスできる)、(2)完全性(情報が正確である)、(3)可用性(必要なときに利用可能な状態になっている)に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価・算出する。算出する影響度を各項目0~10の値で表示する。数値が大きくなるごとに深刻度が増す。
CVSS評価には、攻撃対象となるホストやシステムの単位で脆弱性の深刻度を評価する「CVSS v2」と、評価項目を追加した「CVSS v3」がある。CVSS v3では、攻撃の実行に必要なアクセス権限レベルやユーザー関与レベルなどの評価項目を追加しており、システム単位だけでなくコンポーネントまで細分化して評価できる。ユーザーの関与レベルでは、「攻撃対象のユーザーが何もしなくても攻撃可能か、あるいは特定のURLのクリックなど、何かしらの行動が必要か」といったことを評価する(図2)。
図2:CVSS Base Score(CVSS v2、CVSS v3)の評価レポートの例(出典:NTTデータ先端技術)拡大画像表示
さらに、CVSS Base Scoreの値とひも付く、脆弱性が持つ固有のID「CVE識別番号」を合わせて提供する。CVE識別番号は、米国政府の支援を受けた非営利団体のMITREが採番している識別子である。CVE認識番号から、脆弱性の概要や、製品開発ベンダーサイトなど、脆弱性に関連する情報のURLなどを参照できる。CVSSの値とCVE識別番号を併せて確認できることから、迅速かつ適切にパッチ適用の判断を下せるようになるとしている。
