JNSAから2006年度WGの成果物として、「脆弱性定量化に向けての検討報告書」が公開されており、なかなか興味深い内容となっている。脆弱性やリスクといった目には見えないものを定量化(数値化)するのはなかなか難しい。報告書でも述べられているが、脆弱性の定量化手法として現在普及しつつあるのはCVSS(Common Vulnerability Scoring System)くらいといっていいだろう。報告書によるとCVSSはモデルがシンプルすぎるなどの意見がWG内にあり、「より現場の実情に即した」数値化を目指したという。たしかに検討されたモデル(「トリアージ値」という指標)はよく考えられていると思うが、複雑でわかりにくいとい印象も受ける。評価は分かれるところだろう。

さてこうした手法は利用者(ここでは企業を想定)に実際に利用されなければ当然ながら意味がない。CVSSに関してはベンダから提供される脆弱性情報にBase ScoreやTemporal Scoreが記載されているものを見るようになった。また日本ではIPAが今年の2月から脆弱性の評価にCVSSを採用しており、脆弱性毎にBase Scoreを公開している。一見すると利用がすすんでいるようにも思えるが、これらはいずれもベンダ側からの情報提供がはじまったにすぎず、利用者がどの程度これらの指標を有効活用しているのかは正直よくわからない。

今後利用がすすむことを期待したときに、どういう利用法が想定されているのだろうか。利用目的から考えると、こういった指標が公開されることによって、利用者がその指標を見て自社のセキュリティ対策(パッチを適用したり、ソフトウェアのバージョンをあげたりといった対応)の実施を判断するというのが主な利用法だろう。しかし現状ではここに大きな問題があると思う。

利用者が対策の実施を判断する場合、以下のような情報が必要になるはずである。

1. 脆弱性の対象となっているソフトウェアを自社は利用しているのか
2. 利用している場合、どのような利用方法なのか
3. 脆弱性による自社への影響はどの程度なのか

CVSSのスコアやトリアージ値は、上記のうち3番目の影響判断を行うのに有効な指標といえる。しかしその判断が行えるかどうかは、1番目と2番目の情報を把握できているという前提の上に成り立っている。だがこれらの自社に関する情報を企業がどの程度正しく把握できているのだろうか。かなり疑問である。つまりいくら有効な指標を公開しても、利用者が「それってウチに関係あるの？」という質問に対する答えをすぐにだせない状態では、いくら影響判断をしようにもできないのである。

このように考えてみると、今回のＷＧのような検討はとても有意義なものだと思うが、それと並行して、脆弱性が発見された際にその対象ソフトウェアが自社の環境でどのように使われているのかをすぐに把握できる仕組みの検討が必要とも思える。こういうものはすでに世の中に存在するのだろうか？

ちなみに報告書の中で利用者のアンケート(複数の脆弱性に対してどのような対応をとるのかを回答)とトリアージ値との相関分析なども行っていて、この内容だけ見てもとても興味深い。実際の脆弱性の危険度に加えて、対象ソフトウェアの認知度や使われ方などが利用者の対応の判断に影響を与えていることが見えてくる。

(参考)

• 2006年度 脆弱性定量化に向けての検討報告書
• 共通脆弱性評価システムCVSS概説
• Common Vulnerability Scoring System (CVSS-SIG)