aaaiiuie

学習(備忘録)のため運用

情報処理安全確保支援士 3.1 脆弱性の概要

情報処理安全確保支援士

3.1.1 脆弱性とは

情報セキュリティにおける脆弱性とは、組織や情報システム、物理環境など、情報取り扱いに関わる様々な構成要素の中にあって、情報の漏洩や損失、改竄などのリスクを発生しやすくしたり、拡大させたりする要因となる弱点や欠点のことである。

● 情報セキュリティにおける脆弱性

情報セキュリティにおける脆弱性には次のようなものがある。

脆弱性の種類とその具体例

脆弱性を悪用して攻撃するために作成されたプログラムをエクスプロイドコード、脆弱性が発見された際に、バッチが提供さえるよりも前に当該脆弱性を悪用して行われる攻撃を「ゼロデイ攻撃」という。

● ソフトウェア製品等の脆弱性を識別/評価する仕組み

ソフトウェア製品などの脆弱性については、自社のシステムに関係のある情報をいち早く収集し、その緊急度や影響度を考慮しながら適切に対処することが極めて重要である。こうした活動を支援しているポータルサイトとして、JVN(Japan Vulnerability Notes)がある。 JVNは国内で使用さえrているソフトウェアなどの脆弱性関連情報とその対策情報を提供するポータルサイトであり、独立行政法人 情報処理推進機構(IPA)とJPCERTコーディネーションんセンターとが共同で運用している。
JVNでは、脆弱性関連情報の収集をするだけではなく、製品開発者との調整を通じ、対策方法や対策状況も掲載している。製品開発者の対応状況には脆弱性に該当する製品の有無、回避策や対応情報も含まれる。
JVNでは脆弱性を識別するための識別子としてCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)を採用している。CVEは個別の製品に含まれる脆弱性を対象としており、米国政府の支援を受けた非営利団体のMITRE社が裁判している。
また、脆弱性の種類を識別するために共通基準としてCWE(Common Weakness Enumeration:共通脆弱性タイプ一覧)がある。CWEではSQLインジェクション、クロスサイトスクリプティングなど、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供してる。 そして、脆弱性の深刻さを評価する仕組みとしてCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)がある。CVSSは、IT製品の脆弱性に対するオープンで汎用的な評価手法であり、ベンダに依存しない共通の評価方法を提供している。現在の最新のバージョンはV3である。

CVSSでは脆弱性を評価するために三つの基準を用いる。

基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準。機密性、完全性、可用性に対する影響を、どこから攻撃が可能かといった攻撃元区分や、攻撃する際に必要な特権レベルなどの基準で評価し、CVSS基本値を算出する。

現状評価基準(Temporal Metrics)
脆弱性の現状の深刻度を評価する基準。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値を算出する。

環境評価基準
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準。攻撃による被害の大きさや対象製品の使用状況といった基準で評価し、CVSS環境値を算出する。

● 情報資産、脅威、脆弱性の関係

第二章で解説したシステムやネットワークに対する様々な攻撃は情報セキュリティにおける「脅威」の一部であるが、それらは脅かされる存在である「情報資産」と、脅威を受け入れてしまう原因となる何らかの「脆弱性」があって初めて実害を及ぼすものとなる。それぞれが別個に存在している間は実質的な問題はないが、一度結び付くと情報資産が失われたり、不正に利用されたりして、結果として何らかの損失が発生する。これが情報リスクの顕在化である。

情報資産、脅威、脆弱性の関係

この関係を洗い出し、顕在化の確立や顕在化した場合の損失の大きさを測定し、有効な対策を導き出すのがリスクアセスメントである。なお、情報資産の具体例や損失の種類、リスクアセスメントの実施方法、それに基づいた情報セキュリティポリシの策定などについては後述する。

3.1.2 効果的な情報セキュリティ対策の実施方法

情報資産があれば、そこには常に災害、障害、不正行為、加湿などの脅威が必ず存在する。脅威はその性質上、自助努力によって取り除くことは不可能か、非常に困難である。ただし、組織内部の人的脅威については管理的な対策によって軽減することは可能である。
一方、脆弱性とはいずれも組織内部の弱点なので、正しく認識できてさえいれば自助努力によって取り除いたり、軽減したりすることが可能である。そして、セキュリティ対策とは、主に脆弱性に働きかけることで、情報リスクの顕在化を回避したり、損失を軽減したりすることなのである。つまり、効果的なセキュリティ対策を実施するためには、まず組織や情報システムの脆弱性について正しく認識することから求められる。

以降、情報システムを構成する要素の中にある脆弱性と、その対策方法について解説する。

Check!

  • 脆弱性とは何か
  • 脆弱性にはどのような種類があるか
  • ゼロデイ攻撃とは何か
  • JVNではどのような情報を提供しているか
  • CVSSの概要について述べよ
  • 効果的な情報セキュリティ対策を実施するにはどのような点に着目する必要があるか

確認問題1

JVNなどの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか

ア コンピュータで必要なセキュリティ項目を識別するための識別子
イ 脆弱性が悪用されて改竄されたウェブサイトのスクリーンショットを識別するための識別子
ウ 製品に含まれる脆弱性を識別するための識別子
エ セキュリティ製品を識別するための識別子

解答・解説
CVE(共通脆弱性識別子)は、その名が示すとおり、脆弱性を識別するための識別子である。CVEは識別の製品に含まれる脆弱性を対策としており、米国政府の支援を受けた非営利団体のMITRE社が裁判している。したがってウが正解。

確認問題2

CVSS V3の評価基準には、基本評価基準、現状評価基準、環境評価基準の三つがある。基本表記順の説明はどれか。

ア 機密性への影響として、どこから攻撃が可能かといった攻撃元区分、攻撃する際に必要な特権レベルなど脆弱性そのものを評価する。
イ 攻撃される可能性、利用可能な対策のレベル、脆弱性情報の信憑性など、評価時点における脆弱性の特性を評価する。
ウ 脆弱性を悪用した攻撃シナリオについて、機会、正当化、動機の三つの観点から脆弱性が悪用される基本的なリスクを評価する。
エ 利用者のシステムやネットワークにおける情報セキュリティ対策など、攻撃の難易度や攻撃による影響度を再評価し、脆弱性の最終的な深刻度を評価する。

解答・解説
CVSS V3の基本評価基準は、脆弱性そのものの特定を評価する基準であり、機密性、完全生、可用性に対する影響をどこから攻撃が可能かといった攻撃元区分や攻撃する際に必要な特権レベルなどの基準で評価する。したがって「ア」が正解。