アカウント ログイン
Jump to section

CVE とは

URL をコピー

共通脆弱性識別子 (CVE) とは、一般公開されているコンピュータセキュリティの欠陥のリストのことです。CVE と言えば、CVE ID 番号を割り振られた特定のセキュリティの欠陥を意味します。

ベンダーやリサーチャーが発行するセキュリティ・アドバイザリーは、ほとんどの場合、少なくとも 1 つの CVE ID に言及しています。CVE は、IT 専門家たちが協力し合って脆弱性に優先順位をつけて対策を探り、コンピュータシステムをより安全なものにしていく役に立っています。

CVE の管理は、米国国土安全保障省の一機関であるサイバーセキュリティおよびインフラストラクチャ・セキュリティ庁から資金援助を受けて MITRE 社が行っています。

CVE のエントリーは簡潔で、技術情報、リスク関連情報、影響、修正方法は含まれません。このような詳細情報は U.S. National Vulnerability Database (NVD)CERT/CC Vulnerability Notes Database といったデータベースや、ベンダーその他の組織が管理するさまざまなリストで確認できます。CVE ID はこれらのシステムで共通して使用され、個々のセキュリティの脆弱性を識別する信頼できる識別子としての機能を果たしています。

CVE ID について

CVE ID は CVE 採番機関 (CNA) によって割り振られます。現在ではおよそ 100 の CNAが登録されており、主要な IT ベンダー、セキュリティ企業、リサーチ組織が名を連ねています。 MITRE 社が直接 CVE を発行することもあります。

各 CNA には CVE のブロックが発行され、新しい脆弱性が発見されると確保している中から番号が割り振られます。CVE ID は毎年数千単位で発行されています。オペレーティングシステムなどの複雑な製品では、1 つの製品に数百の CVE が発行されることもあります。

CVE の報告はあらゆるところから届きます。ベンダーやリサーチャーから報告が上がることもあれば、熱心なユーザーが欠陥を発見して誰かに伝えることもあります。多くのベンダーでは、バグの発見に報奨金を出して、セキュリティの脆弱性が無責任に拡散されないようにしています。オープンソースソフトウェアで脆弱性を発見した場合は、コミュニティに報告してください。

報告された情報は、何らかのルートで CNA に届きます。CNA はその情報に CVE ID を割り振り、簡単な説明と参照情報を追加します。その後、CVE エントリーは CVE の Web サイトで公開されます。

多くの場合、CVE ID は、セキュリティ・アドバイザリーが公開される前に割り振られます。一般的に、ベンダーは対策の開発とテストが終了するまでセキュリティ問題の情報を公開しません。これにより、未対応の問題が攻撃者に利用されないようにします。

公開された CVE エントリーには、CVE ID (「CVE-2019-1234567」の形式)、セキュリティ脆弱性または露出の簡単な説明、および参照情報 (報告やアドバイザリーへのリンクなど) が含まれます。

問題に CVE ID を割り振るには、いくつかの条件を満たす必要があります。

1. 個別に修正可能であること。

他のバグとは関係なく、単独で修正できなくてはなりません。

2. 当事者たるベンダーが認めているか、文書化されていること。

ソフトウェアまたはハードウェアのベンダーが、そのバグの存在と、セキュリティに悪影響があることを認めていなくてはなりません。あるいは、報告者が、そのバグにより悪影響がもたらされ、かつ、そのバグが該当システムのセキュリティポリシーを侵害するものであることを示すレポートを公開していなくてはなりません。

3. 1 つのコードベースに影響するものであること。

その問題が複数の製品に影響を及ぼすものである場合、それぞれについて個別の CVE が発行されます。共有のライブラリ、プロトコル、または標準に関する問題の場合、その脆弱性の影響を受けずに共有コードを使用する方法が存在しなければ、単一の CVE が発行されます。そうでなければ、影響を受けるコードベースまたは製品ごとに個別の CVE が発行されます。

Red Hat のセキュリティに関する最新情報を入手する

脆弱性の重大度を評価する方法は複数存在します。そのうちの 1 つが、脆弱性の重大度を評価する尺度を数値として割り当てるオープンスタンダードである共通脆弱性評価システム (CVSS) です。CVSS スコアは、NVD、CERT などが脆弱性の影響を評価するために使用します。CVSS の重大度スコアは 0.0 から 10.0 の値を取り、数字が大きいほど重大な脆弱性であることを示します。この他にも、多くのセキュリティベンダーが各社独自のスコアシステムを持っています。

覚えておくべき 3 つのポイント 

自社のデプロイメントを知る:CVE が存在しても、そのリスクがそのまますべての環境やデプロイメントに当てはまるとは限りません。個々の CVE をよく読み、自社環境のオペレーティングシステム、アプリケーション、モジュール、構成に該当するか (あるいは部分的に該当するか) を確かめ、自社に当てはまるかどうかを判断しましょう。

脆弱性管理を実施する: 脆弱性管理とは、脆弱性の識別、分類、優先順位付け、修正、緩和のための、反復可能なプロセスのことを言います。これは、対策が必要な脆弱性を正しく優先順位付けできるよう、リスクが自組織にどのように該当するかを理解することを意味します。

連絡の体制を作っておく:CVE は、脆弱性自体とその対策のためのダウンタイムという 2 つの面から、組織のシステムに影響を与えます。内部顧客に連絡して調整を行い、組織のリスク管理部門に脆弱性について伝えられるようにしておきましょう。

Red Hat と CVE

オープンソース・ソフトウェアの主要コントリビューターである Red Hat は、継続的にセキュリティコミュニティに参加しています。Red Hat は CVE 採番機関 (CNA) の一員であり、CVE ID を使用してセキュリティ脆弱性のトラッキングを行っています。Red Hat Security はセキュリティアップデートの公開データベースを維持しています。このデータベースは頻繁に更新され、CVE 番号で参照できます。

Red Hat 製品セキュリティは、[Security Data] ページにある未加工のセキュリティデータへの Security Data API によるアクセスを提供します。これらのデータはマシンで使用可能な形式です。

Red Hat が作成するセキュリティレポートとメトリクスに加えて、お客様はこの生データを使用し、お客様固有の状況に応じた独自のメトリクスを作成できます。

Security Data API が提供するデータには、OVAL (Open Vulnerability and Assessment Language) 定義、Common Vulnerability Reporting Framework (CVRF) ドキュメント、および CVE データが含まれます。データは XML または JSON 形式で利用できます。

関連資料

記事

DevSecOps とは

DevOps によるアジリティと応答性を存分に利用したいのであれば、アプリケーションのライフサイクル全体を通じて重要な役目を果たす IT セキュリティが不可欠です。

記事

クラウドセキュリティの特徴とは

高度なセキュリティ問題は、従来の IT システムとクラウドシステムの両方に影響します。クラウドセキュリティの特徴をご覧ください。

記事

SOAR とは

SOAR とは、セキュリティチームが使用する 3 つの主要なソフトウェア機能を指します。すなわち、ケースおよびワークフロー管理機能、タスクの自動化機能、および脅威インテリジェンスへのアクセス、クエリ、共有を一元化する手段が含まれます。

セキュリティの詳細はこちら

製品

Red Hat Certificate System

ユーザーの ID を管理し、通信の機密性維持を支援するセキュリティ・フレームワーク。

Red Hat Advanced Cluster Security Kubernetes

クラウドネイティブ・アプリケーションのより安全な構築、デプロイ、実行を可能にする、エンタープライズ向けの Kubernetes ネイティブのコンテナ・セキュリティ・ソリューション。

Red Hat Insights

Red Hat インフラストラクチャのセキュリティ、パフォーマンス、可用性に対する脅威の特定と修復に役立つ予測分析サービス。

Red Hat Advanced Cluster Management Kubernetes

Kubernetes クラスタとアプリケーションを制御する、セキュリティポリシーを組み込んだ単一のコンソール。

リソース

Illustration - mail

その他の関連コンテンツ

無料のニュースレター「Red Hat Shares」(英語) では、注目の IT トピックスに関するコンテンツをお届けしています。

Red Hat logo LinkedInYouTubeFacebookTwitter

製品

ツール

試す、買う、売る

コミュニケーション

Red Hat について

エンタープライズ・オープンソース・ソリューションのプロバイダーとして世界をリードする Red Hat は、Linux、クラウド、コンテナ、Kubernetes などのテクノロジーを提供しています。Red Hat は強化されたソリューションを提供し、コアデータセンターからネットワークエッジまで、企業が複数のプラットフォームおよび環境間で容易に運用できるようにしています。

ニュースレター「Red Hat Shares」を購読する

今すぐ登録する

言語を選択してください

© 2022 Red Hat, Inc. Red Hat Summit