O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

3

Compartilhar

脆弱性とCVE-ID、CVSS、CVSSv3の概要

脆弱性とCVE-ID、CVSS、CVSSv3の概要について説明

脆弱性とCVE-ID、CVSS、CVSSv3の概要

  1. 1. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 株式会社テリロジー コンサルティング&ソリューション技術統括部 脆弱性とCVSS
  2. 2. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 2 1.脆弱性について ・脆弱性とCVE-ID 2.CVSSについて ・CVSSとは ・CVSSv3の概要 Agenda
  3. 3. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 3 1.脆弱性について
  4. 4. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 4 脆弱性とは 4 プログラムの不具合、設計ミス などが原因で発生する、 OS、ソフトウェアの不具合 • 意図しない操作が行えてしまう • 意図しないデータが取得できてしまう • データを改ざんされてしまう etc…
  5. 5. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 5 脆弱性の管理とCVE-ID 5 新しく発見された脆弱性は、脆弱性情 報データベースにより広く共有される 一意に脆弱性を識別するCVE-IDと言う識 別子を付与して管理 形式:CVE-2018-11776 ※上記は Apache Struts2 の脆弱性の番号 西暦 通し番号
  6. 6. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 6 脆弱性について知るべき情報 6 何に対する脆弱性なのか? OS、アプリケーション etc. どんな脆弱性なのか? どれくらい深刻なのか? 「CVSS」に よって把握
  7. 7. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 7 2.CVSSについて
  8. 8. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 8 CVSSとは 8 脆弱性の深刻度の目安となる、共 通の脆弱性評価システム  仕様は継続的に改善されており、現在2018年 現在は「CVSS v3」が最新 共通の指標で評価することで、さ まざまな脆弱性の深刻度合が定量 的に評価でき、比較が可能になる
  9. 9. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 9 CVSS評価基準 9 3つの評価基準が存在する • 脆弱性の技術的な特性を評価 1.基本評価基準(Base Metrics) • その時点における脆弱性を取り巻く状況を評価 2.現状評価基準(Temporal Metrics) • 利用者環境における問題の大きさを評価 3.環境評価基準(Environmental Metrics)
  10. 10. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 10 2.1.基本評価基準
  11. 11. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 11 基本評価基準の項目 11 攻撃難易度 AV 攻撃元区分 どこから攻撃可能か AC 攻撃条件の複雑さ PR 必要な特権レベル UI ユーザー関与レベル ユーザ動作がどの程度必要か 攻撃による影響 C 機密性への影響 情報漏えいの可能性 I 完全性への影響 情報改ざんの可能性 A 可用性への影響 業務停止の可能性 影響の広がり S スコープ 攻撃の影響範囲 簡単であるほ ど脅威は高い 影響が高いほど 攻撃された場合 の被害が深刻
  12. 12. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 12 各基準項目の値 1/4 AV(Attack Vector):攻撃元区分 ネットワーク(N) ネットワーク経由でリモート攻撃可 能 隣接 (A) 隣接ネットワークから攻撃可能 ローカル (L) ローカル環境から攻撃可能 物理 (P) 物理アクセス環境から攻撃可能 AC(Attack Complexity):攻撃条件の複雑さ 低(L) 特別な攻撃条件がなくても攻撃可能 高(H) 攻撃条件が整った場合に攻撃可能
  13. 13. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 13 各基準項目の値 2/4 PR(Privileges Required):必要な特権レベル 不要(N) 特別な権限は不要 低 (L) 基本的な権限が必要 高 (H) 管理者権限相当が必要 UI(User Interaction):ユーザ関与レベル 不要(N) ユーザの関与なく攻撃可能 必要(R) ユーザの関与が必要 S(Scope):影響範囲 変更なし(U) 影響は管理権限の範囲内 変更あり(C) 影響が管理権限の範囲外に及ぶ可能 性あり
  14. 14. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 14 各基準項目の値 3/4 C(Confidentiality Impact):機密性への影響 高 (H) 機密情報等が参照可能で、影響が全 体に及ぶ可能性あり 低 (L) 影響が限定的 なし(N) 機密性への影響なし I(Integrity Impact):完全性への影響 高 (H) 機密情報等の改ざんが可能で、影響 が全体に及ぶ可能性あり 低 (L) 影響が限定的 なし(N) 完全性への影響なし
  15. 15. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 15 各基準項目の値 4/4 A:Availability Impact:可用性への影響 高 (H) システムを完全に停止させること 等が可能 低 (L) 一時的なシステム停止等が可能 なし(N) 可用性への影響なし
  16. 16. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 16  これまで説明した評価項目を並べて表記したもの  必要な情報をコンパクトに確認できる ベクタ表記 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 攻撃元区分 攻撃の複雑さ 攻撃前の認証有無 ユーザ関与レベル スコープ 機密性への影響 完全性への影響 可用性への影響 上記の場合、『ネットワーク経由で(AV:N)特別な攻撃条件な しに(AC:L)権限を必要とせず(PR:N)ユーザ側の動作も必要 としない(UI:N)攻撃が可能であり、管理権限の範囲内で (S:U)、機密性・完全性・可用性に全体的に影響をおよぼす (C:H/I:H/A:H)』脆弱性であることを示す
  17. 17. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 17 2.2.その他基準
  18. 18. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 18 現状評価基準項目 18 E(Exploit Code Maturity):攻撃される可能性 ⇒ 攻撃がどの程度利用可能であるか RL(Remediation Level):利用可能な対策のレベル ⇒ 脆弱性対策がどの程度利用可能であるか RC(Report Confidence):脆弱性情報の信頼性 ⇒ 脆弱性情報の信頼性がどの程度あるか
  19. 19. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 19 環境評価基準項目 19 CR、IR、AR(Security Requirements):セキュリティ要求度 ⇒ 対象システムにおける、機密性(C)、完全性(I)、 可用性(A)それぞれに要求されるセキュリティのレベル (損なわれた場合の影響が大きい場合に「高」と評価する Modified Base Metrics:環境条件を加味した基本評価の再評価 ⇒ 現時点での利用環境や、緩和対処を実施したことによ る基本評価の再評価
  20. 20. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 20 2.3.CVSSスコア
  21. 21. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 21 CVSSスコア ここまでに挙げた評価基準を 利用し、定量的に深刻度を表 したスコア 最大値は10 21
  22. 22. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 22 スコアによる深刻度の分類 22 CVSSスコアによる大まかな深刻度 の分類は下記のとおり スコア 深刻度 9.0~10.0 緊急 7.0~8.9 重要 4.0~6.9 警告 0.1~3.9 注意 0 なし
  23. 23. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 23 CVSSスコアの算出方法 23 基本評価基準を利用し、「CVSS基本 値(ベーススコア)」を算出 「現状評価基準」「環境評価基準」に よりスコアを再計算し、現在の当該環 境におけるスコアを最終的に算出
  24. 24. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 24 CVSS v3 Calculator 24 値の計算式は公開されているが、自力で 計算するのは面倒 評価値を入力すると自動的にCVSSスコア を計算してくれるWebサービスをJVNが公 開しているため、これを利用すると便利 https://jvndb.jvn.jp/cvss/ja/v3.html
  25. 25. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 25 CVSS v3 Calculator スクリーンショット 25
  26. 26. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 26 まとめ
  27. 27. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 2727 脆弱性はCVE-IDを付与して管理され る 脆弱性の深刻度を把握する共通指標 としてCVSSが策定されている CVSSでは各指標をもとに深刻度を10 段階のスコアを算出でき、これによ り深刻度の定量的な評価が行える
  28. 28. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 28 ありがとうございました テリロジー「半公式」エンジニアブログ(仮) https://terilogy-tech.hatenablog.com/
  • ssuser2976d2

    May. 1, 2020
  • yoshi807

    Mar. 8, 2020
  • Terilogy-CnSTech

    Dec. 28, 2018

脆弱性とCVE-ID、CVSS、CVSSv3の概要について説明

Vistos

Vistos totais

1.013

No Slideshare

0

De incorporações

0

Número de incorporações

217

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

3

×