Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
CVSS v3 を使った脆弱性の評価
サイボウズ株式会社
Copyright (C) Cybozu,Inc. 1
CVSS
(Common Vulnerability Scoring System)
• 脆弱性に対するオープンで標準的な評価手法
• 脆弱性を 2 軸で評価し、深刻度を定量化
Copyright (C) Cybozu,Inc. 2
攻撃による...
CVSS v3 の評価
• 攻撃対象となるコンポーネントの脆弱性による影響を
評価
3
深刻度Ⅲ
深刻度Ⅱ
https://www.ipa.go.jp/security/vuln/CVSSv3.html
共通評価システム CVSS v3 概説
...
コンポーネント
• 各ソフトウェア / サービスや Web ブラウザのこと
Copyright (C) Cybozu,Inc. 4
cybozu.com 管理
と共通設定
特定ドメイン
コンポーネントと管理権限の範囲(1)
• サービスを構成するコンポーネント群
Copyright (C) Cybozu,Inc. 5
cybozu.com 管理
と共通設定
特定ドメイン
kintone の管理権限の範囲
(Authorizat...
コンポーネントと管理権限の範囲(2)
• サービスを構成するコンポーネント群
Copyright (C) Cybozu,Inc. 6
cybozu.com 管理
と共通設定
特定ドメイン
Garoon の管理権限の範囲
(Authorizati...
コンポーネントと管理権限の範囲(3)
• クライアント端末は別の Authorization Scope
Copyright (C) Cybozu,Inc. 7
cybozu.com 管理
と共通設定
特定ドメイン
端末の管理権限の範囲
(Au...
CVSS v3 の評価観点
Copyright (C) Cybozu,Inc. 8
CVSS v3
攻撃の難易度 どこから攻撃可能であるか
攻撃元区分(AV: Access Vector)
攻撃する際に必要な条件の複雑さ
攻撃条件の複雑さ(AC: Access Complexity)
攻撃する際に必要な特権レベル
必要な特権レ...
攻撃元区分(AV: Access Vector)
• システムをどこから攻撃可能であるか
Copyright (C) Cybozu,Inc. 10
攻撃の難易度
脆弱なコンポーネントに対し
ネットワーク経由で攻撃可能か
脆弱性に対し、ルータ経由...
攻撃条件の複雑さ
(AC: Access Complexity)
• 攻撃に必要な条件がどのようなものか
Copyright (C) Cybozu,Inc. 11
攻撃の難易度
攻撃者は、攻撃者自身の
意思のままに攻撃可能か
低(L)
攻撃成立...
中間者攻撃
• 他人のネットワーク上での通信に対して、
通信経路上に介入して通信内容を書き換える攻撃
Copyright (C) Cybozu,Inc. 12
盗聴
通常の通信
中間者攻撃
必要な特権レベル
(PR: Privileges Required)
• 攻撃に必要な認証レベルを評価
Copyright (C) Cybozu,Inc. 13
攻撃の難易度
攻撃前に
認証が必要か
攻撃前に必要な認証は
管理者権限に相当するか...
ユーザ関与レベル
(UI: User Interaction)
• 攻撃のためにユーザ(被害者)の関与が必要かを評価
Copyright (C) Cybozu,Inc. 14
攻撃の難易度
攻撃の成立までに
ユーザのアクションが必要か
不要(N...
影響の想定範囲(S: Scope)
• 攻撃による被害の想定範囲を評価
Copyright (C) Cybozu,Inc. 15
攻撃による影響
攻撃の影響が、攻撃を直接
受ける対象とは別のコンポーネントに
まで及ぶか
変更有り(C)
影響が脆...
影響範囲の拡大に関する考え方(1)
• 脆弱性の影響が Authorization Scope を超えるか
Copyright (C) Cybozu,Inc. 16
cybozu.com 管理
と共通設定
特定ドメイン
攻撃者は kintone...
影響範囲の拡大に関する考え方(2)
• 脆弱性の影響が Authorization Scope を超えるか
Copyright (C) Cybozu,Inc. 17
cybozu.com 管理
と共通設定
特定ドメイン
攻撃者は kintone...
情報セキュリティの3要素
Copyright (C) Cybozu,Inc. 18
攻撃による影響
情報
セキュリティ
機密性
完全性可用性
Availability Integrity
Confidentiality
機密性への影響
(C: Confidentiality Impact)
• 攻撃された際に機密性に影響があるか
Copyright (C) Cybozu,Inc. 19
攻撃による影響
攻撃成立によって
機密性に何らかの影響を
受けるか
すべて...
完全性への影響
(I: Integrity Impact)
• 攻撃された際に完全性に影響があるか
Copyright (C) Cybozu,Inc. 20
攻撃による影響
攻撃成立によって
完全性に何らかの影響を
受けるか
すべての情報または...
可用性への影響
(A: Availability Impact)
• 攻撃された際に可用性に影響があるか
Copyright (C) Cybozu,Inc. 21
攻撃による影響
攻撃成立によって
可用性に何らかの影響を
受けるか
システムを完...
深刻度の評価
Copyright (C) Cybozu,Inc. 22
CVSS の評価基準
• 3つの評価基準が存在します。
• 基本評価基準(Basic Metric)
• 脆弱性の技術的な特性を評価する基準
• 現状評価基準(Temporal Metric)
• ある時点における脆弱性を取り巻く状況を評価する...
24
深刻度を5段階で評価
深刻度 CVSS v3 基本値
緊急(Critical) 9.0 ~ 10.0
重要(High) 7.0 ~ 8.9
警告(Middle) 4.0 ~ 6.9
注意(Low) 0.1 ~ 3.9
なし 0
Copyr...
サイボウズの情報公開
Copyright (C) Cybozu,Inc. 25
脆弱性情報の公開
サイボウズからのお知らせ
• サイボウズから発信するセキュリティ情報全般を掲載
• https://cs.cybozu.co.jp/security/
不具合情報公開サイト
• 脆弱性を含むサイボウズ製品の不具合情報を掲載
•...
脆弱性情報の公開例
Copyright (C) Cybozu,Inc. 27
項目名 内容
脆弱性タイプ ソフトウェアにおけるセキュリ
ティ上の弱点(脆弱性)の種類
を識別するための共通の基準で
ある「CWE」に基づいた脆弱性
の分類を掲載いた...
サイボウズ製品の評価例
Copyright (C) Cybozu,Inc. 28
脆弱性の評価比較 - DoS
• CVE-2015-8489 サイボウズ Office における DoS
29
評価項目 v3 V2 備考
基本値 6.5 6.8
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 低...
脆弱性の評価比較 – 情報漏えい
• CVE-2015-8488 Office における情報漏えいの脆弱性
30
評価項目 v3 V2 備考
基本値 4.3 5.0
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 ...
脆弱性の評価比較 – XSS
• CVE-2015-7795 Office における XSS の脆弱性
31
評価項目 v3 V2 備考
基本値 6.1 4.3
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 中
...
脆弱性の評価比較 – CSRF
• CVE-2016-1151 Office における CSRF
32
評価項目 v3 V2 備考
基本値 4.3 2.6
攻撃元区分(AV) ネットワーク ネットワーク
攻撃条件の複雑さ(AC) 低 高 攻撃者...
参考資料
• CVSS v3 概説
• https://www.ipa.go.jp/security/vuln/CVSSv3.html
• Common Vulnerability Scoring System v3.0: User
Guide...
Upcoming SlideShare
Loading in …5
×

Cvss v3 を使った脆弱性の評価 公開版

30,334 views

Published on

サイボウズでは脆弱性に対するオープンで標準的な評価手法である
CVSS を使って脆弱性を評価しております。

Published in: Software
  • Follow the link, new dating source: ❤❤❤ http://bit.ly/39mQKz3 ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/39mQKz3 ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Cvss v3 を使った脆弱性の評価 公開版

  1. 1. CVSS v3 を使った脆弱性の評価 サイボウズ株式会社 Copyright (C) Cybozu,Inc. 1
  2. 2. CVSS (Common Vulnerability Scoring System) • 脆弱性に対するオープンで標準的な評価手法 • 脆弱性を 2 軸で評価し、深刻度を定量化 Copyright (C) Cybozu,Inc. 2 攻撃による影響 情報の CIA を どの程度侵害するか 攻撃の難易度 攻撃者がシステムを 容易に攻撃できるか
  3. 3. CVSS v3 の評価 • 攻撃対象となるコンポーネントの脆弱性による影響を 評価 3 深刻度Ⅲ 深刻度Ⅱ https://www.ipa.go.jp/security/vuln/CVSSv3.html 共通評価システム CVSS v3 概説 Copyright (C) Cybozu,Inc.
  4. 4. コンポーネント • 各ソフトウェア / サービスや Web ブラウザのこと Copyright (C) Cybozu,Inc. 4 cybozu.com 管理 と共通設定 特定ドメイン
  5. 5. コンポーネントと管理権限の範囲(1) • サービスを構成するコンポーネント群 Copyright (C) Cybozu,Inc. 5 cybozu.com 管理 と共通設定 特定ドメイン kintone の管理権限の範囲 (Authorization Scope)
  6. 6. コンポーネントと管理権限の範囲(2) • サービスを構成するコンポーネント群 Copyright (C) Cybozu,Inc. 6 cybozu.com 管理 と共通設定 特定ドメイン Garoon の管理権限の範囲 (Authorization Scope)
  7. 7. コンポーネントと管理権限の範囲(3) • クライアント端末は別の Authorization Scope Copyright (C) Cybozu,Inc. 7 cybozu.com 管理 と共通設定 特定ドメイン 端末の管理権限の範囲 (Authorization Scope)
  8. 8. CVSS v3 の評価観点 Copyright (C) Cybozu,Inc. 8
  9. 9. CVSS v3 攻撃の難易度 どこから攻撃可能であるか 攻撃元区分(AV: Access Vector) 攻撃する際に必要な条件の複雑さ 攻撃条件の複雑さ(AC: Access Complexity) 攻撃する際に必要な特権レベル 必要な特権レベル(PR: Privileges Required) 攻撃する際に必要なユーザ関与レベル ユーザ関与レベル(UI: User Interaction) 攻撃による影響 攻撃による影響範囲の想定範囲 影響の想定範囲(S: Scope) 機密情報が漏えいする可能性 機密性への影響(C: Confidentiality Impact) 情報が改ざんされる可能性 完全性への影響(I: Integrity Impact) 業務が遅延・停止する可能性 可用性への影響(A: Availability Impact) 9 CVSS v3 の評価観点 Copyright (C) Cybozu,Inc.
  10. 10. 攻撃元区分(AV: Access Vector) • システムをどこから攻撃可能であるか Copyright (C) Cybozu,Inc. 10 攻撃の難易度 脆弱なコンポーネントに対し ネットワーク経由で攻撃可能か 脆弱性に対し、ルータ経由 (OSI 参照モデル L3)で 攻撃可能か 攻撃成立のために 物理的に対象にアクセスする 必要があるか Yes No ネットワーク(N) インターネット経由で攻撃可能 隣接(A) 隣接ネットワークから攻撃可能 (Wifi , Bluetooth などを含む) ローカル(L) ローカル App 経由で攻撃可能 (ユーザに App を開かせる 等) 物理(P) 攻撃者が攻撃対象に物理的にア クセスする必要がある Yes No Yes No
  11. 11. 攻撃条件の複雑さ (AC: Access Complexity) • 攻撃に必要な条件がどのようなものか Copyright (C) Cybozu,Inc. 11 攻撃の難易度 攻撃者は、攻撃者自身の 意思のままに攻撃可能か 低(L) 攻撃成立に必要な条件はなく、 攻撃者はいつでも攻撃可能 高(H) 攻撃者以外に依存する攻撃条件 が存在し、対象の環境に関する 情報収集などが必要。 または中間者攻撃を行う必要が ある。 Yes No
  12. 12. 中間者攻撃 • 他人のネットワーク上での通信に対して、 通信経路上に介入して通信内容を書き換える攻撃 Copyright (C) Cybozu,Inc. 12 盗聴 通常の通信 中間者攻撃
  13. 13. 必要な特権レベル (PR: Privileges Required) • 攻撃に必要な認証レベルを評価 Copyright (C) Cybozu,Inc. 13 攻撃の難易度 攻撃前に 認証が必要か 攻撃前に必要な認証は 管理者権限に相当するか No Yes 不要(N) 認証なしで攻撃可能 (第三者による攻撃が可能) 低(L) 攻撃者はコンポーネントに対す る基本的な権限を有している必 要がある(ユーザ権限相当) 高(H) 攻撃者はコンポーネントに対す る管理者権限相当を有している 必要がある No Yes
  14. 14. ユーザ関与レベル (UI: User Interaction) • 攻撃のためにユーザ(被害者)の関与が必要かを評価 Copyright (C) Cybozu,Inc. 14 攻撃の難易度 攻撃の成立までに ユーザのアクションが必要か 不要(N) ユーザが何もしなくても 攻撃が完了する 要(R) 攻撃完了のために、ユーザによる リンクのクリック、ファイル閲覧、 設定変更など何らかのアクション (関与)が必要 No Yes
  15. 15. 影響の想定範囲(S: Scope) • 攻撃による被害の想定範囲を評価 Copyright (C) Cybozu,Inc. 15 攻撃による影響 攻撃の影響が、攻撃を直接 受ける対象とは別のコンポーネントに まで及ぶか 変更有り(C) 影響が脆弱なコンポーネント にまで波及する (XSS、リフレクター攻撃など) 変更なし(U) 影響範囲は脆弱なコンポーネント 内に留まる Yes No 脆弱性の影響がコンポーネントの範囲外に広がる場合、 1.2 倍程度評価値が高くなる。
  16. 16. 影響範囲の拡大に関する考え方(1) • 脆弱性の影響が Authorization Scope を超えるか Copyright (C) Cybozu,Inc. 16 cybozu.com 管理 と共通設定 特定ドメイン 攻撃者は kintone を攻撃したが、 影響が kintone の管理権限の範 囲(Authorization Scope)を 超えていないので、影響範囲の 変更は無し
  17. 17. 影響範囲の拡大に関する考え方(2) • 脆弱性の影響が Authorization Scope を超えるか Copyright (C) Cybozu,Inc. 17 cybozu.com 管理 と共通設定 特定ドメイン 攻撃者は kintone を攻撃したが、 影響が kintone の管理権限の範 囲(Authorization Scope)を 超えているので、 影響範囲の変更がされたと評価
  18. 18. 情報セキュリティの3要素 Copyright (C) Cybozu,Inc. 18 攻撃による影響 情報 セキュリティ 機密性 完全性可用性 Availability Integrity Confidentiality
  19. 19. 機密性への影響 (C: Confidentiality Impact) • 攻撃された際に機密性に影響があるか Copyright (C) Cybozu,Inc. 19 攻撃による影響 攻撃成立によって 機密性に何らかの影響を 受けるか すべての情報または、 重要な情報が漏えいするか 高(H) 攻撃成立によって全ての ファイルまたは、機密情報や 重要なファイルシステムが参照 可能になる (認証情報の漏えい等) 低(L) 一部ファイルシステムが参照可 能だが、機密情報や重要なファ イルシステムは参照できない なし(N) システムの機密性に影響はない (情報漏えいは起こらない) Yes No Yes No
  20. 20. 完全性への影響 (I: Integrity Impact) • 攻撃された際に完全性に影響があるか Copyright (C) Cybozu,Inc. 20 攻撃による影響 攻撃成立によって 完全性に何らかの影響を 受けるか すべての情報または、 重要な情報を改ざんされるか 高(H) 攻撃成立によって全ての ファイルまたは、機密情報や 重要なファイルシステムを 改ざん可能になる (認証情報の漏えい等) 低(L) 一部ファイルシステムを改ざん 可能だが、機密情報や重要な ファイルシステムは改ざんでき ない なし(N) システムの完全性に影響はない (情報改ざんは起こらない) Yes No Yes No
  21. 21. 可用性への影響 (A: Availability Impact) • 攻撃された際に可用性に影響があるか Copyright (C) Cybozu,Inc. 21 攻撃による影響 攻撃成立によって 可用性に何らかの影響を 受けるか システムを完全に停止または、 リソースを完全に枯渇させる ことが可能か 高(H) システムを完全に停止させたり ネットワーク帯域やディスクス ペースなどのリソースを完全に 枯渇させることが可能 低(L) システムを一時的または、 部分的に停止させたり、リソー スを一時的または部分的に枯渇 させることが可能 なし(N) システムの可用性に影響はない (システム停止・遅延は起こら ない) Yes No Yes No
  22. 22. 深刻度の評価 Copyright (C) Cybozu,Inc. 22
  23. 23. CVSS の評価基準 • 3つの評価基準が存在します。 • 基本評価基準(Basic Metric) • 脆弱性の技術的な特性を評価する基準 • 現状評価基準(Temporal Metric) • ある時点における脆弱性を取り巻く状況を評価する基準 • 環境評価基準(Environmental Metric) • ユーザ環境における問題の大きさを評価する基準 • サイボウズでは基本評価基準を用います Copyright (C) Cybozu,Inc. 23
  24. 24. 24 深刻度を5段階で評価 深刻度 CVSS v3 基本値 緊急(Critical) 9.0 ~ 10.0 重要(High) 7.0 ~ 8.9 警告(Middle) 4.0 ~ 6.9 注意(Low) 0.1 ~ 3.9 なし 0 Copyright (C) Cybozu,Inc. ◇ CVSS スコア 5.7(CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N) 警告(Middle)
  25. 25. サイボウズの情報公開 Copyright (C) Cybozu,Inc. 25
  26. 26. 脆弱性情報の公開 サイボウズからのお知らせ • サイボウズから発信するセキュリティ情報全般を掲載 • https://cs.cybozu.co.jp/security/ 不具合情報公開サイト • 脆弱性を含むサイボウズ製品の不具合情報を掲載 • https://support.cybozu.com/ja-jp/ 脆弱性を改修したことを自社サイトにて公開 Copyright (C) Cybozu,Inc. 26
  27. 27. 脆弱性情報の公開例 Copyright (C) Cybozu,Inc. 27 項目名 内容 脆弱性タイプ ソフトウェアにおけるセキュリ ティ上の弱点(脆弱性)の種類 を識別するための共通の基準で ある「CWE」に基づいた脆弱性 の分類を掲載いたします。 CWE https://www.ipa.go.jp/security/v uln/CWE.html 脆弱性の基本評価 CVSS v3 の各評価項目について 掲載いたします。 CVSS 基本値 CVSS v3 の評価結果を記載いた します。 補足 脆弱性情報に関する補足情報を 記載いたします。 引用元 https://support.cybozu.com/ja-jp/article/9480
  28. 28. サイボウズ製品の評価例 Copyright (C) Cybozu,Inc. 28
  29. 29. 脆弱性の評価比較 - DoS • CVE-2015-8489 サイボウズ Office における DoS 29 評価項目 v3 V2 備考 基本値 6.5 6.8 攻撃元区分(AV) ネットワーク ネットワーク 攻撃条件の複雑さ(AC) 低 低 攻撃前認証要否(Au) 単一 必要な特権レベル(PR) 低 Office にログインする必要がある ユーザ関与レベル(UI) 不要 影響の想定範囲(S) 変更なし Office の管理権限の範囲を超えない 機密性への影響(C) なし なし 完全性への影響(I) なし なし 可用性への影響(A) 高 全面的 Office が利用不可となる Copyright (C) Cybozu,Inc.
  30. 30. 脆弱性の評価比較 – 情報漏えい • CVE-2015-8488 Office における情報漏えいの脆弱性 30 評価項目 v3 V2 備考 基本値 4.3 5.0 攻撃元区分(AV) ネットワーク ネットワーク 攻撃条件の複雑さ(AC) 低 低 攻撃前認証要否(Au) 不要 必要な特権レベル(PR) 不要 Office にログインする必要が無い ユーザ関与レベル(UI) 要 影響の想定範囲(S) 変更なし Office の管理権限の範囲を超えない 機密性への影響(C) 低 部分的 重要度の低い一部の情報が漏えい 完全性への影響(I) なし なし 可用性への影響(A) なし なし Copyright (C) Cybozu,Inc.
  31. 31. 脆弱性の評価比較 – XSS • CVE-2015-7795 Office における XSS の脆弱性 31 評価項目 v3 V2 備考 基本値 6.1 4.3 攻撃元区分(AV) ネットワーク ネットワーク 攻撃条件の複雑さ(AC) 低 中 攻撃前認証要否(Au) 不要 必要な特権レベル(PR) 不要 Office にログインする必要が無い ユーザ関与レベル(UI) 要 影響の想定範囲(S) 変更あり クライアント端末で影響 機密性への影響(C) 低 なし 完全性への影響(I) 低 部分的 可用性への影響(A) なし なし Copyright (C) Cybozu,Inc.
  32. 32. 脆弱性の評価比較 – CSRF • CVE-2016-1151 Office における CSRF 32 評価項目 v3 V2 備考 基本値 4.3 2.6 攻撃元区分(AV) ネットワーク ネットワーク 攻撃条件の複雑さ(AC) 低 高 攻撃者に依存する条件は無い 攻撃前認証要否(Au) 不要 必要な特権レベル(PR) 不要 Office にログインする必要が無い ユーザ関与レベル(UI) 要 影響の想定範囲(S) 変更なし Office の管理権限の範囲を超えない 機密性への影響(C) なし なし 完全性への影響(I) 低 部分的 影響は重要度の低い一部の情報に限定 可用性への影響(A) なし なし Copyright (C) Cybozu,Inc.
  33. 33. 参考資料 • CVSS v3 概説 • https://www.ipa.go.jp/security/vuln/CVSSv3.html • Common Vulnerability Scoring System v3.0: User Guide • https://www.first.org/cvss/user-guide Copyright (C) Cybozu,Inc. 33

×