ログイン / 登録 アカウント

セキュリティ

CVE とは

共通脆弱性識別子 (CVE) とは、一般公開されているコンピュータセキュリティの欠陥のリストのことです。通常は、CVE と言えば特定のセキュリティの欠陥に割り振られた CVE ID 番号を意味します。

CVE は、IT 専門家たちが協力し合って脆弱性に優先順位をつけて対策を探り、コンピュータシステムをより安全なものにしていく役に立っています。

CVE システムの仕組み

CVE の管理は、米国国土安全保障省の一機関であるサイバーセキュリティおよびインフラストラクチャ・セキュリティ庁から資金援助を受けて MITRE 社が行っています。

CVE のエントリーは簡潔で、技術情報、リスク関連情報、影響、修正方法は含まれません。このような詳細情報は U.S. National Vulnerability DatabaseCERT/CC Vulnerability Notes Database といったデータベースや、ベンダーその他の組織が管理するさまざまなリストで確認できます。CVE ID はこれらのシステムで共通して使用され、個々のセキュリティの脆弱性を識別する信頼できる識別子としての機能を果たしています。

CVE ID の割り振り

CVE ID は CVE 採番機関 (CNA) によって割り振られます。現在ではおよそ 100 の CNA が登録されており、主要な IT ベンダー、セキュリティ企業、リサーチ組織が名を連ねています。MITRE 社が直接 CVE を発行することもあります。

各 CNA には CVE のブロックが発行され、新しい脆弱性が発見されると確保している中から番号が割り振られます。CVE ID は毎年数千単位で発行されています。オペレーティングシステムなどの複雑な製品では、1 つの製品に数百の CVE が発行されることもあります。

CVE の報告はあらゆるところから届きます。ベンダーやリサーチャーから報告が上がることもあれば、熱心なユーザーが欠陥を発見して誰かに伝えることもあります。多くのベンダーでは、バグの発見に報奨金を出して、セキュリティの脆弱性が無責任に拡散されないようにしています。オープンソース・ソフトウェアで脆弱性を発見した場合は、コミュニティに報告してください。

報告された情報は、何らかのルートで CNA に届きます。CNA はその情報に CVE ID を割り振り、簡単な説明と参照情報を追加します。その後、CVE エントリーは CVE の Web サイトで公開されます。

このすべてが短時間で処理されるわけではありません。一般的に、ベンダーは対策の開発とテストが終了するまでセキュリティ問題の情報を公開しません。これにより、未対応の問題が攻撃者に利用されないようにします。

公開された CVE エントリーには、CVE ID (「CVE-2019-1234567」の形式)、セキュリティ脆弱性または露出の簡単な説明、および参照情報 (報告やアドバイザリーへのリンクなど) が含まれます。


CVE の条件

問題に CVE ID を割り振るには、次のようないくつかの条件を満たす必要があります。

1. 個別に修正可能であること。

他のバグとは関係なく、単独で修正できなくてはなりません。

2. 当事者たるベンダーが認めていること。

ソフトウェアまたはハードウェアのベンダーが、そのバグの存在と、セキュリティに悪影響があることを認めていなくてはなりません。

または

文書化されていること。報告者が、そのバグにより悪影響がもたらされ、かつ、そのバグが該当システムのセキュリティポリシーを侵害するものであることを示すレポートを公開していなくてはなりません。

3. 1 つのコードベースに影響するものであること。

その問題が複数の製品に影響を及ぼすものである場合、それぞれについて個別の CVE が発行されます。共有のライブラリ、プロトコル、または標準に関する問題の場合、その脆弱性の影響を受けずに共有コードを使用する方法が存在しなければ、単一の CVE が発行されます。そうでなければ、影響を受けるコードベースまたは製品ごとに個別の CVE が発行されます。


共通脆弱性評価システムとは

脆弱性の重大度を評価する方法は複数存在します。そのうちの 1 つが、脆弱性の重大度を評価する尺度を数値として割り当てるオープンスタンダードである共通脆弱性評価システム (CVSS) です。CVSS の重大度スコアは 0.0 から 10.0 の値を取り、数字が大きいほど重大な脆弱性であることを示します。この他にも、多くのセキュリティベンダーが各社独自のスコアシステムを持っています。

覚えておくべき 3 つのポイント

自社のデプロイメントを知る:CVE が存在しても、そのリスクがそのまますべての環境やデプロイメントに当てはまるとは限りません。個々の CVE をよく読み、自社環境のオペレーティングシステム、アプリケーション、モジュール、構成に該当するか (あるいは部分的に該当するか) を確かめ、自社に当てはまるかどうかを判断しましょう。

脆弱性管理を実施する:脆弱性管理とは、脆弱性の識別、分類、優先順位付け、修正、緩和のための、反復可能なプロセスのことを言います。これは、対策が必要な脆弱性を正しく優先順位付けできるよう、リスクが自組織にどのように該当するかを理解することを意味します。

連絡の体制を作っておく:CVE は、脆弱性自体とその対策のためのダウンタイムという 2 つの面から、組織のシステムに影響を与えます。内部顧客に連絡して調整を行い、組織のリスク管理部門に脆弱性について伝えられるようにしておきましょう。

Red Hat と CVE

オープンソース・ソフトウェアの主要コントリビューターである Red Hat は、継続的にセキュリティコミュニティに参加しています。Red Hat は CVE 採番機関 (CNA) の一員であり、CVE ID を使用してセキュリティ脆弱性のトラッキングを行っています。Red Hat Security はセキュリティアップデートの公開データベースを維持しています。このデータベースは頻繁に更新され、CVE 番号で参照できます。

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

Red Hat インフラストラクチャの詳細

Red Hat Enterprise Linux logo

Red Hat Enterprise Linux は、新しいアプリケーションの展開、環境の仮想化、安全なハイブリッドクラウドの作成などに適した汎用性を誇り、Red Hat の受賞歴のあるサポートによって支えられる、安定性に優れた実績ある基盤です。

Red Hat インフラストラクチャを管理するうえで最も容易な手段であり、効率的でコンプライアンスが確保された IT 運用を実現できます。信頼できるコンテンツリポジトリとプロセスにより、標準ベースの安全な環境を構築することができます。

Red Hat のセキュリティに関する最新情報を入手する