「CVSS」とはそもそも何か？　脆弱性対応の優先順位付けではない!?

CVSSの改善に向けたCERT/CCからの提言

　本連載の2018年9月の記事でも紹介したように、脆弱性の深刻度を評価する「CVSS（Common Vulnerability Scoring System）」が適切に利用されていないケースが散見される中、世界最初のCSIRTである米CERT/CCからCVSSの改善に向けた提言などをまとめた白書が公開されました。

　CERT/CCは、CVSSの管理母体であるFIRST（Forum of Incident Response and Security Teams）でCVSSの適用推進や仕様改善を行なっているCVSS-SIG（Special Interest Group）に長く参加している“中の人”なわけですが、そのCERT/CCが今回のような白書を公開するというのは今後のCVSSを考える上で重要な出来事と言えるでしょう。

　まずCVSSの問題点として指摘されているのは、CVSS値の計算式の妥当性が十分に説明されていない（透明性がない）という点です。これについてCERT/CCは計算式を一から作り直す必要があるのではないかとしています。

　そして最も重要な指摘は、そもそもCVSSとは何かという点です。CVSS-SIGのページにはトップに

The Common Vulnerability Scoring System (CVSS) provides a way to capture the principal characteristics of a vulnerability and produce a numerical score reflecting its severity. The numerical score can then be translated into a qualitative representation (such as low, medium, high, and critical) to help organizations properly assess and prioritize their vulnerability management processes.

と明記されており、これだけを読めば、CVSSを脆弱性対応の優先順位付けやリスクアセスメントに利用するのは妥当に思われますが、それは「誤用（misuse）」であるとCERT/CCは指摘しています。

　そもそもCVSSは脆弱性の技術的な深刻度を特定するために設計されたものであり、セキュリティリスクの度合いを示すものではありません。一方、一般的に人々が知りたいのは、脆弱性に対してどれくらい速やかに対応すべきかというものであり、それを実現するには現在のCVSSを変えるか、新しい別のシステムを使うしかないのです。つまり、このような「人々がCVSSに対して本当に期待しているもの（特に脆弱性対応の優先順位付け）」をCVSSのコミュニティが提供できていないことが問題であるというのがCERT/CCが主張したいことなわけです。

　もちろん、CERT/CCとしては問題を指摘するだけではなく、当事者として今後もCVSS-SIGに協力してCVSSの改善に努めていくことを宣言しています。今回の白書は「CERT/CCによる決意表明」と言えるのかもしれません。今後の動向に注目しましょう。

脆弱性開示の経済学

　EUネットワーク情報セキュリティ局（ENISA：European Union Agency for Network and Information Security）は、脆弱性情報の取り扱いを経済的側面から研究したレポートを公開しました。脆弱性開示に関して見落とされ、あまり理解されていない経済的側面を研究することの必要性を説くとともに、コストなどの経済的な要因やインセンティブが脆弱性開示プロセスに与える影響などをまとめた内容になっています。その上で、このような経済的な観点は、脆弱性によって適切に開示されるものとそうでないものがある理由を説明するのに役立つかもしれないとしています。

　主なポイントは以下の7点です。

• 今回の研究は現代社会において脆弱性開示が重要な役割を担っていることを示している。
• それゆえ、全ての当事者は効果的で効率的な脆弱性開示が行えるような適切かつ互いに有益な仕組みを用意し、運用することの重要性を認識すべきである。
• 開発者側はコミュニティからの脆弱性報告を受け取って適切に対応する能力を確保するための努力をすべきである。
• 各国政府は調整された脆弱性開示ポリシーの実装を検討すべきである。
• 当事者相互にとって有益で標準的な振る舞いを促進するためには当事者全てに渡る啓発や能力開発が鍵となる。
• セキュリティ研究者が安心して活動できるように法や制度などを整備することで発見者の福利（wellbeing）や脆弱性開示のエコシステム全体を改善する機会にもなる。
• 今回の研究によって、脆弱性の開示がより大きな情報セキュリティエコシステムの一部であり、ソフトウェア製品等の品質やセキュリティの改善に向けた持続的な取り組みを促進するものであることが明らかになった。

　このレポートでは脆弱性開示の主要な当事者（actors）を以下の4つのグループに分けています。

• 利用者（users）
• 開発元（vendors）
• 発見者（finders）
• 調整者（coordinators） ※例えば、CERT/CCやCERT-FI、JPCERT/CCなど

また、二次的な当事者（secondary actors）として以下の3つを挙げています。

• 政府（governments）
• メディア（media）
• 敵対する当事者（adversarial actors）

　ここで「敵対する当事者」とは、犯罪者など、脆弱性を悪用したり、悪辣な目的で脆弱性開示プロセスに携わったりする者を指します。

　レポートではこれらの当事者の振る舞いに影響する経済的要因や動機づけとなるもの（incentives/motivations）などをまとめています。例えば、調整された脆弱性の開示（CVD：Coordinated Vulnerability Disclosure）プロセスにおける発見者と開発元それぞれにとっての動機づけとなるものや逆に障害となるものをまとめたのが以下の図です。

　ほかにも、実際の脆弱性開示の事例として「Meltdown/Spectre」と「EternalBlue」を取り上げ、それぞれの開示プロセスを経済的観点から説明しています。

　レポートは本文だけで60ページを超えており、気軽に読める量ではないかもしれませんが、バグバウンティを実施している企業や組織だけでなく、脆弱性情報の流通に何らかのかたちで関わっている方も、一度は目を通しておくとよいかもしれません。

米国による旅行者の電子デバイス検査の実態

　米監察総監室（OIG：Office of Inspector General）は、税関・国境警備局（CBP：U.S. Customs and Border Protection）が旅行者の電子デバイスの検査を「Trade Facilitation and Trade Enforcement Act of 2015（TFTEA）」によって定められた手順に従って行なっているかを調査した結果を発表しました。発表されたのは2018年12月ですが、調査対象となった期間は2016年4月から2017年7月までです。

　公開された報告書によると、手順が守られていないケースが相当数あったようです。

　まず、電子デバイスの検査について適切に記録に残されていないことがあり、それは管理者が適切にレビューしないことがあったためとしています。

　また、電子デバイスを検査する前にネットワーク接続を切っていないケースがあったようです。検査は物理的にデバイス上にある情報のみを対象としているため、遠隔に保存された情報にアクセスしないように「機内（フライト）モード」にするなどしてネットワーク接続を切る必要があるのですが、現場の担当官らに提供されたガイドラインが「inconsistent」であったために切断が徹底されなかったとしています。

　さらに、検査に用いる外部装置の管理が適切でないケースもありました。例えば、外部装置用のソフトウェアのライセンスを更新しなかったり、サムドライブ（USBメモリ）にコピーした情報を削除すべきところをそのままにしていたりしていたようです。

　いずれも「さもありなん」と思えるものばかりで、このような手順の不徹底は米国だけの話でないことは明らかです。大事なのは、徹底されているかどうかを定期的に確認し、その上で必要があれば手順自体を改善していくという「当たり前」のこと。それを改めて示したものと受け取るべきでしょう。

　参考までに、調査対象期間を含む2016年度と2017年度でCBPが処理した件数は次のようになっています。