cvss v3 を使った脆弱性の評価 公開版
TRANSCRIPT
![Page 1: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/1.jpg)
CVSS v3 を使った脆弱性の評価サイボウズ株式会社
Copyright (C) Cybozu,Inc. 1
![Page 2: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/2.jpg)
CVSS(Common Vulnerability Scoring System)
•脆弱性に対するオープンで標準的な評価手法
•脆弱性を 2 軸で評価し、深刻度を定量化
Copyright (C) Cybozu,Inc. 2
攻撃による影響
情報の CIA をどの程度侵害するか
攻撃の難易度
攻撃者がシステムを容易に攻撃できるか
![Page 3: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/3.jpg)
CVSS v3 の評価
•攻撃対象となるコンポーネントの脆弱性による影響を評価
3
深刻度Ⅲ
深刻度Ⅱ
https://www.ipa.go.jp/security/vuln/CVSSv3.html
共通評価システム CVSS v3 概説
Copyright (C) Cybozu,Inc.
![Page 4: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/4.jpg)
コンポーネント
•各ソフトウェア / サービスや Web ブラウザのこと
Copyright (C) Cybozu,Inc. 4
cybozu.com 管理と共通設定
特定ドメイン
![Page 5: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/5.jpg)
コンポーネントと管理権限の範囲(1)
•サービスを構成するコンポーネント群
Copyright (C) Cybozu,Inc. 5
cybozu.com 管理と共通設定
特定ドメイン
kintone の管理権限の範囲(Authorization Scope)
![Page 6: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/6.jpg)
コンポーネントと管理権限の範囲(2)
•サービスを構成するコンポーネント群
Copyright (C) Cybozu,Inc. 6
cybozu.com 管理と共通設定
特定ドメイン
Garoon の管理権限の範囲(Authorization Scope)
![Page 7: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/7.jpg)
コンポーネントと管理権限の範囲(3)
•クライアント端末は別の Authorization Scope
Copyright (C) Cybozu,Inc. 7
cybozu.com 管理と共通設定
特定ドメイン
端末の管理権限の範囲(Authorization Scope)
![Page 8: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/8.jpg)
CVSS v3 の評価観点
Copyright (C) Cybozu,Inc. 8
![Page 9: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/9.jpg)
CVSS v3
攻撃の難易度 どこから攻撃可能であるか攻撃元区分(AV: Access Vector)
攻撃する際に必要な条件の複雑さ攻撃条件の複雑さ(AC: Access Complexity)
攻撃する際に必要な特権レベル必要な特権レベル(PR: Privileges Required)
攻撃する際に必要なユーザ関与レベルユーザ関与レベル(UI: User Interaction)
攻撃による影響 攻撃による影響範囲の想定範囲影響の想定範囲(S: Scope)
機密情報が漏えいする可能性機密性への影響(C: Confidentiality Impact)
情報が改ざんされる可能性完全性への影響(I: Integrity Impact)
業務が遅延・停止する可能性可用性への影響(A: Availability Impact)
9
CVSS v3 の評価観点
Copyright (C) Cybozu,Inc.
![Page 10: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/10.jpg)
攻撃元区分(AV: Access Vector)
•システムをどこから攻撃可能であるか
Copyright (C) Cybozu,Inc. 10
攻撃の難易度
脆弱なコンポーネントに対しネットワーク経由で攻撃可能か
脆弱性に対し、ルータ経由(OSI 参照モデル L3)で
攻撃可能か
攻撃成立のために物理的に対象にアクセスする
必要があるか
Yes
No
ネットワーク(N)インターネット経由で攻撃可能
隣接(A)隣接ネットワークから攻撃可能(Wifi , Bluetooth などを含む)
ローカル(L)ローカル App 経由で攻撃可能(ユーザに App を開かせる等)
物理(P)攻撃者が攻撃対象に物理的にアクセスする必要がある
Yes
No
Yes
No
![Page 11: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/11.jpg)
攻撃条件の複雑さ(AC: Access Complexity)
•攻撃に必要な条件がどのようなものか
Copyright (C) Cybozu,Inc. 11
攻撃の難易度
攻撃者は、攻撃者自身の意思のままに攻撃可能か
低(L)攻撃成立に必要な条件はなく、攻撃者はいつでも攻撃可能
高(H)攻撃者以外に依存する攻撃条件が存在し、対象の環境に関する情報収集などが必要。または中間者攻撃を行う必要がある。
Yes
No
![Page 12: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/12.jpg)
中間者攻撃
•他人のネットワーク上での通信に対して、通信経路上に介入して通信内容を書き換える攻撃
Copyright (C) Cybozu,Inc. 12
盗聴
通常の通信
中間者攻撃
![Page 13: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/13.jpg)
必要な特権レベル(PR: Privileges Required)
•攻撃に必要な認証レベルを評価
Copyright (C) Cybozu,Inc. 13
攻撃の難易度
攻撃前に認証が必要か
攻撃前に必要な認証は管理者権限に相当するか
No
Yes
不要(N)認証なしで攻撃可能(第三者による攻撃が可能)
低(L)攻撃者はコンポーネントに対する基本的な権限を有している必要がある(ユーザ権限相当)
高(H)攻撃者はコンポーネントに対する管理者権限相当を有している必要がある
No
Yes
![Page 14: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/14.jpg)
ユーザ関与レベル(UI: User Interaction)
•攻撃のためにユーザ(被害者)の関与が必要かを評価
Copyright (C) Cybozu,Inc. 14
攻撃の難易度
攻撃の成立までにユーザのアクションが必要か
不要(N)ユーザが何もしなくても攻撃が完了する
要(R)攻撃完了のために、ユーザによるリンクのクリック、ファイル閲覧、設定変更など何らかのアクション(関与)が必要
No
Yes
![Page 15: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/15.jpg)
影響の想定範囲(S: Scope)
•攻撃による被害の想定範囲を評価
Copyright (C) Cybozu,Inc. 15
攻撃による影響
攻撃の影響が、攻撃を直接受ける対象とは別のコンポーネントに
まで及ぶか
変更有り(C)影響が脆弱なコンポーネントにまで波及する(XSS、リフレクター攻撃など)
変更なし(U)影響範囲は脆弱なコンポーネント内に留まる
Yes
No
脆弱性の影響がコンポーネントの範囲外に広がる場合、1.2 倍程度評価値が高くなる。
![Page 16: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/16.jpg)
影響範囲の拡大に関する考え方(1)
•脆弱性の影響が Authorization Scope を超えるか
Copyright (C) Cybozu,Inc. 16
cybozu.com 管理と共通設定
特定ドメイン
攻撃者は kintone を攻撃したが、影響が kintone の管理権限の範囲(Authorization Scope)を超えていないので、影響範囲の変更は無し
![Page 17: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/17.jpg)
影響範囲の拡大に関する考え方(2)
•脆弱性の影響が Authorization Scope を超えるか
Copyright (C) Cybozu,Inc. 17
cybozu.com 管理と共通設定
特定ドメイン
攻撃者は kintone を攻撃したが、影響が kintone の管理権限の範囲(Authorization Scope)を超えているので、影響範囲の変更がされたと評価
![Page 18: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/18.jpg)
情報セキュリティの3要素
Copyright (C) Cybozu,Inc. 18
攻撃による影響
情報
セキュリティ
機密性
完全性可用性
Availability Integrity
Confidentiality
![Page 19: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/19.jpg)
機密性への影響(C: Confidentiality Impact)
•攻撃された際に機密性に影響があるか
Copyright (C) Cybozu,Inc. 19
攻撃による影響
攻撃成立によって機密性に何らかの影響を
受けるか
すべての情報または、重要な情報が漏えいするか
高(H)攻撃成立によって全てのファイルまたは、機密情報や重要なファイルシステムが参照可能になる(認証情報の漏えい等)
低(L)一部ファイルシステムが参照可能だが、機密情報や重要なファイルシステムは参照できない
なし(N)システムの機密性に影響はない(情報漏えいは起こらない)
Yes
No
Yes
No
![Page 20: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/20.jpg)
完全性への影響(I: Integrity Impact)
•攻撃された際に完全性に影響があるか
Copyright (C) Cybozu,Inc. 20
攻撃による影響
攻撃成立によって完全性に何らかの影響を
受けるか
すべての情報または、重要な情報を改ざんされるか
高(H)攻撃成立によって全てのファイルまたは、機密情報や重要なファイルシステムを改ざん可能になる(認証情報の漏えい等)
低(L)一部ファイルシステムを改ざん可能だが、機密情報や重要なファイルシステムは改ざんできない
なし(N)システムの完全性に影響はない(情報改ざんは起こらない)
Yes
No
Yes
No
![Page 21: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/21.jpg)
可用性への影響(A: Availability Impact)
•攻撃された際に可用性に影響があるか
Copyright (C) Cybozu,Inc. 21
攻撃による影響
攻撃成立によって可用性に何らかの影響を
受けるか
システムを完全に停止または、リソースを完全に枯渇させる
ことが可能か
高(H)システムを完全に停止させたりネットワーク帯域やディスクスペースなどのリソースを完全に枯渇させることが可能
低(L)システムを一時的または、部分的に停止させたり、リソースを一時的または部分的に枯渇させることが可能
なし(N)システムの可用性に影響はない(システム停止・遅延は起こらない)
Yes
No
Yes
No
![Page 22: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/22.jpg)
深刻度の評価
Copyright (C) Cybozu,Inc. 22
![Page 23: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/23.jpg)
CVSS の評価基準
•3つの評価基準が存在します。
• 基本評価基準(Basic Metric)• 脆弱性の技術的な特性を評価する基準
• 現状評価基準(Temporal Metric)• ある時点における脆弱性を取り巻く状況を評価する基準
• 環境評価基準(Environmental Metric)• ユーザ環境における問題の大きさを評価する基準
•サイボウズでは基本評価基準を用います
Copyright (C) Cybozu,Inc. 23
![Page 24: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/24.jpg)
24
深刻度を5段階で評価
深刻度 CVSS v3 基本値
緊急(Critical) 9.0 ~ 10.0
重要(High) 7.0 ~ 8.9
警告(Middle) 4.0 ~ 6.9
注意(Low) 0.1 ~ 3.9
なし 0
Copyright (C) Cybozu,Inc.
◇ CVSS スコア
5.7(CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N)
警告(Middle)
![Page 25: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/25.jpg)
サイボウズの情報公開
Copyright (C) Cybozu,Inc. 25
![Page 26: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/26.jpg)
脆弱性情報の公開
サイボウズからのお知らせ
• サイボウズから発信するセキュリティ情報全般を掲載• https://cs.cybozu.co.jp/security/
不具合情報公開サイト
• 脆弱性を含むサイボウズ製品の不具合情報を掲載• https://support.cybozu.com/ja-jp/
脆弱性を改修したことを自社サイトにて公開
Copyright (C) Cybozu,Inc. 26
![Page 27: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/27.jpg)
脆弱性情報の公開例
Copyright (C) Cybozu,Inc. 27
項目名 内容
脆弱性タイプ ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準である「CWE」に基づいた脆弱性の分類を掲載いたします。
CWE
https://www.ipa.go.jp/security/v
uln/CWE.html
脆弱性の基本評価 CVSS v3 の各評価項目について掲載いたします。
CVSS 基本値 CVSS v3 の評価結果を記載いたします。
補足 脆弱性情報に関する補足情報を記載いたします。
引用元 https://support.cybozu.com/ja-jp/article/9480
![Page 28: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/28.jpg)
サイボウズ製品の評価例
Copyright (C) Cybozu,Inc. 28
![Page 29: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/29.jpg)
脆弱性の評価比較 - DoS
• CVE-2015-8489 サイボウズ Office における DoS
29
評価項目 v3 V2 備考
基本値 6.5 6.8
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 低
攻撃前認証要否(Au) 単一
必要な特権レベル(PR) 低 Office にログインする必要がある
ユーザ関与レベル(UI) 不要
影響の想定範囲(S) 変更なし Office の管理権限の範囲を超えない
機密性への影響(C) なし なし
完全性への影響(I) なし なし
可用性への影響(A) 高 全面的 Office が利用不可となる
Copyright (C) Cybozu,Inc.
![Page 30: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/30.jpg)
脆弱性の評価比較 – 情報漏えい
• CVE-2015-8488 Office における情報漏えいの脆弱性
30
評価項目 v3 V2 備考
基本値 4.3 5.0
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 低
攻撃前認証要否(Au) 不要
必要な特権レベル(PR) 不要 Office にログインする必要が無い
ユーザ関与レベル(UI) 要
影響の想定範囲(S) 変更なし Office の管理権限の範囲を超えない
機密性への影響(C) 低 部分的 重要度の低い一部の情報が漏えい
完全性への影響(I) なし なし
可用性への影響(A) なし なし
Copyright (C) Cybozu,Inc.
![Page 31: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/31.jpg)
脆弱性の評価比較 – XSS
• CVE-2015-7795 Office における XSS の脆弱性
31
評価項目 v3 V2 備考
基本値 6.1 4.3
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 中
攻撃前認証要否(Au) 不要
必要な特権レベル(PR) 不要 Office にログインする必要が無い
ユーザ関与レベル(UI) 要
影響の想定範囲(S) 変更あり クライアント端末で影響
機密性への影響(C) 低 なし
完全性への影響(I) 低 部分的
可用性への影響(A) なし なし
Copyright (C) Cybozu,Inc.
![Page 32: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/32.jpg)
脆弱性の評価比較 – CSRF
• CVE-2016-1151 Office における CSRF
32
評価項目 v3 V2 備考
基本値 4.3 2.6
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 高 攻撃者に依存する条件は無い
攻撃前認証要否(Au) 不要
必要な特権レベル(PR) 不要 Office にログインする必要が無い
ユーザ関与レベル(UI) 要
影響の想定範囲(S) 変更なし Office の管理権限の範囲を超えない
機密性への影響(C) なし なし
完全性への影響(I) 低 部分的 影響は重要度の低い一部の情報に限定
可用性への影響(A) なし なし
Copyright (C) Cybozu,Inc.
![Page 33: Cvss v3 を使った脆弱性の評価 公開版](https://reader034.vdocuments.mx/reader034/viewer/2022050900/5876c3c91a28ab6d5a8b5685/html5/thumbnails/33.jpg)
参考資料
• CVSS v3 概説• https://www.ipa.go.jp/security/vuln/CVSSv3.html
• Common Vulnerability Scoring System v3.0: User Guide• https://www.first.org/cvss/user-guide
Copyright (C) Cybozu,Inc. 33