マルウェアの攻撃などが問題視されている昨今、システムやソフトウェアの脆弱性を把握するために活用されているのが、CVEです。この記事ではCVEの概要やメリット、CVEの課題やセキュリティ対策を行う上での活用法などを解説します。CVEを活用したセキュリティ対策を検討している企業のセキュリティ担当者の方は、ぜひ参考にしてください。
CVEとは
CVEとは「Common Vulnerabilities and Exposures」の略で、日本語では「共通脆弱性識別子」と訳されます。CVEはシステムやソフトウェアなどで発見された脆弱性やセキュリティホールのひとつひとつに、「CVE-ID」という識別番号を付与し、リスト化して世界の誰もが無料で閲覧できるよう公開しています。簡単に言うと、脆弱性に関する識別情報を整理した辞書のようなものです。情報・防衛技術を専門とする米国の非営利組織「MITRE」が採番・管理しています。
ただしCVEで公開されるのは、識別番号や脆弱性の簡単な説明など、表面的な情報に限られます。脆弱性の詳細までは記載されていないため、具体的な対策については他のデータベースを参照したり、専門のセキュリティ機関に依頼したりする必要があります。
以下はCVEの公式サイトです。
CVEを活用するメリット
CVEの一番のメリットは、世界共通の識別番号による情報管理の容易さです。それについて3つのポイントに分けて、詳しく解説します。
・脆弱性情報を一元化できる
CVE登場以前は、発見した脆弱性については各ベンダーが独自に情報を公開していました。そのため名称などもバラバラでわかりづらく、ベンダーをまたいだ比較などもしにくいというデメリットがありました。
一方、CVEでは国や企業に関係なく一意の識別番号を付与するため、組織やセキュリティツールが異なっても情報が一元管理できます。また、同じ脆弱性に対し違う名称が使用されるといった混乱を避けられるため、セキュリティ担当者も迅速に対策に取りかかれます。
・脆弱性情報を共有できる
CVEを活用して脆弱性情報を管理することにより、誰でも閲覧が可能なため、他の組織やシステムの利用者とも情報を共有できます。ベンダーだけでなくユーザーコミュニティとも情報を交換できるので、多くの監視の目が行き届くのがメリットです。脆弱性の情報が迅速に共有され、対策を打つまでの時間的なロスを減らせます。
またCVEには「CVE互換認定制度」があり、一定の条件を満たした情報セキュリティサービスは認定を受けることが可能です。認定を受けると、MITREのWebサイトで紹介されたり、CVEのロゴの使用が認められたりするメリットがあります。互換認定制度により、セキュリティサービスの信用も高まり、サービスの利用者も効率的に情報が得られます。
・システムの安全性を迅速に向上できる
CVE識別番号は、セキュリティの専門家で構成される「CVEボード」と呼ばれる機関によって評価、および割り当てを行っています。CVEボードは定期的に会議を開きその内容を一般にも公開しています。そのためセキュリティ関係のプロバイダーやベンダーといったコミュニティとも密接に連携しており、彼らが直面する課題に対し、迅速に解決のための情報を提供することが可能です。
CVEで公開している脆弱性の情報は標準化されたもので、グローバルなセキュリティ基準としても使用されています。各種セキュリティツールとの互換性も高いので、最新の脆弱性情報を迅速に特定し、防御策を効率的に開発できます。
セキュリティ対策におけるCVEの活用方法
CVEはセキュリティ対策においてどのように活用できるのでしょうか。主な3つの方法を詳しく紹介します。
・脆弱性対応に優先順位を付ける
アプリケーションやシステム内に複数の脆弱性が見つかった場合、より緊急性の高い脆弱性から優先的に対応に当たることが重要です。CVEを活用すれば、現在システムなどに存在している脆弱性を一通り把握できます。
ただしCVEで確認できるのは、識別番号と脆弱性の概要、参考URLとステータスのみに過ぎません。脆弱性の深刻度を確認するには、CVSSスコアもあわせて参照する必要があります。CVSSスコアとは、脆弱性の深刻度を0(最も低い)から10(最も高い)までの数値で評価したものです。CVEの識別番号とCVSSスコアは紐付けられているので、互換性のある脆弱性データベースなどでCVEの識別番号を検索すれば、該当する脆弱性の深刻度も調べられます。
そこに攻撃の可能性やシステムへの影響を加味して優先順位を判断し、緊急性の高いものから対応に当たることで、サイバー攻撃の影響を最小限に止められます。
・セキュリティツールと結合する
CVEは各種情報セキュリティツールとも連携できます。例えば侵入検知システムと連携することで、システムやネットワークへの不正な侵入があった際にリアルタイムで検知し、迅速に対応に当たれます。また脆弱性管理プログラムとの連携により、脆弱性の優先順位付けやリスク評価、定期的な脆弱性の自動検知やセキュリティイベントの継続的な監視・分析などが可能です。
ペンタセキュリティのクラウド型WAFサービス「Cloudbric WAF+」でも、CVEをはじめとする脆弱性の情報を活用し、サービスに反映させています。また、セキュリティ診断サービス「Cloudbric 脆弱性診断」では、診断の際にCVEなどを活用してリスクを可視化しており、サイバー攻撃などに備えてセキュリティ対策を強化できます。
参照:
「CVE」の役割と管理手法|脆弱性への効果的な対処法と予防策について
セキュリティ診断サービス「Cloudbric 脆弱性診断」
・セキュリティポリシーを作成する
セキュリティポリシーとは、企業や組織において、情報資産を守るための基本方針や行動指針を定めた文書のことです。セキュリティポリシーによって対策の範囲や対応体制、実施手順などがあらかじめ明確にされていれば、インシデントが発生した際も迅速に対応に当たれます。また、従業員の情報セキュリティ意識を高めたり、取引先や顧客からの信頼を得たりすることにも役立ちます。
CVEやCVEと互換性のある脆弱性データベースなどによって得た脆弱性の情報は、セキュリティポリシーの作成にも活用可能です。脆弱性の深刻度や予想される影響を事前に知っておくことで、インシデントが起こった際の対策や対応手順を決めやすくなります。
まとめ
CVEによってシステムなどの脆弱性に世界共通の識別番号を付与することは、脆弱性情報管理の一元化や、組織をまたいだ脆弱性情報の共有に役立ちます。
CVEを活用すれば、脆弱性情報の優先順位付けやセキュリティポリシーの作成などが容易になります。またセキュリティツールと連携させることで、セキュリティ対策の強化も可能です。
CVEの脆弱性情報は誰でも無料で閲覧できます。ただCVE単体では詳細な情報は得られないため、互換性のある脆弱性データベースなども参考にしながら、より強固なセキュリティ対策を講じましょう。
▼企業向けWebセキュリティ対策なら、クラウド型WAFサービス「Cloudbirc WAF+」
▼既知・未知の脅威に備えるセキュリティ診断サービス「Cloudbric 脆弱性診断」
▼Cloudbricの製品・サービスに関するお問い合わせはこちら
