CVEの優先順位付けを活用した、オープンソースのセキュリティ確保

by cmoullec on 7 May 2020

Securing open source through CVE prioritisation

最近の調査によると、エンタープライズ市場のアプリケーションの96%が、オープンソースソフトウェアを使用しています。オープンソースの世界がますます細分化していくなかで、組織の潜在的なセキュリティの脆弱性を評価することは、非常に困難な作業になります。Ubuntuは最も安全なオペレーティングシステムの1つとして知られていますが、それはなぜでしょうか? Ubuntuがセキュリティにおけるリーダーであるのは、毎日、Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートされたソフトウェアパッケージをリリースしているからです。この作業は24時間、365日体制で継続的に行われています。実際には、セキュリティチームは平均して1日に3つ以上のアップデートを提供しています。また、きわめて重要なアップデートは準備され、テストされた後に24時間以内にリリースされます。このような結果を出すために、Canonicalは審査と優先順位付けを行い、最も重要なソフトウェアの脆弱性を最初に修正するための信頼性の高いプロセスを設計しました。ソフトウェアの脆弱性は共通脆弱性識別子(CVE)システムの一環として追跡されます。また、Ubuntuセキュリティ通知(USN) を介してUbuntuセキュリティチームが公開するセキュリティアップデートの大部分が、公開されている特定のCVEに対応しています。

信頼性の高いトリアージ(緊急度判定)プロセス

Ubuntuセキュリティチームは独自のCVEデータベースを管理しており、Ubuntuアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITRENIST NVDを含むさまざまなソースから公開されている最新の脆弱性をトリアージしています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合には)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、パッケージにパッチ(アップストリームパッチを含む)を適用するために必要なあらゆる情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低)、medium(中)、high(高)、critical(危険)の範囲から優先順位が割り当てられます。続いて、この優先順位によって、Ubuntuセキュリティチームが最初にどの脆弱性に対応すべきであるかを判断します。

広範なCVE審査

CVEの深刻度を評価するための一般的な方法として、共通脆弱性評価システム(CVSS)があります。このシステムは、特定の脆弱性の深刻度を数値化し、他の脆弱性との比較ができるように設計されています。特定のCVEのCVSSスコアは、多数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな測面についての考察が可能になりますが、欠点も多くあります。特に、CVSSは脆弱性の技術的な深刻度を評価するために設計されていますが脆弱性の優先順位付けやリスク評価の手段として誤った使い方をされることが頻繁にあります。特定のソフトウェアパッケージがインストールまたは使用されている可能性があるか、パッケージのデフォルト構成で脆弱性が軽減されるかどうか、脆弱性に対する既知のエクスプロイトが存在しているかどうかなど、特定の脆弱性についてCVSSでは捉えられないさまざまな側面を考慮することが重要です。

適切なCVEの優先順位付け

一方、Ubuntuセキュリティチームによって割り当てられる優先度の値は、これらの要素やその他の要素を捕捉するために設計されています。そのため、この優先度の値は、サーバー、デスクトップ、クラウド、IoTのあらゆるUbuntuのインスタンスを考慮したセキュリティソフトウェアアップデートの優先順位付けのための効果的な指標として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーの入力なしにリモートで攻撃される場合など)は、優先順位がcritical(危険)またはhigh(高)になります。影響を受けるユーザーが少なく、ユーザーによる入力を必要とする、あるいはサービス拒否のように影響の小さい脆弱性の場合は、優先順位はmedium(中)、low(低)、またはnegligible(影響が少ない)になります。このようなCVEの優先順位付けは、脆弱性ごとにケースバイケースで行われます。また、特定の脆弱性がUbuntuアーカイブの複数のパッケージに該当する可能性があるため、この優先順位はパッケージごとの脆弱性についても割り当てられます。このようにして、CVSSスコアとは関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす可能性の高い脆弱性が最初に修正され、既知のソフトウェアの脆弱性により攻撃されるリスクは可能な限り抑えられます。

各脆弱性に対して割り当てられた優先順位、およびCVEの優先順位付けの一環として各優先順位の割り当てに使用される基準の詳細については、Ubuntu CVE Trackerをご覧ください。

関連記事

Ubuntu Applianceポートフォリオ

本日は、Canonicalの新たなイニシアチブであるUbuntu Applianceポートフォリオをご紹介します。Canonicalは、Nextcloud、AdGuard、Plex Media Server、Mosquitto、OpenHABと協力して、新たなUbuntu派生製品を開発しました。1つの目的に特化したアプライアンスイメージです。Ubuntu Appliance によって、Raspberry PiやPCをセキュアで、自己更新するソリューションへと、無料で変えることができます。 Ubuntu Applianceの目的は、セキュアで、自己修復機能があり、単一目的のデバイスを可能にすることです。ディスカッションに参加して、ぜひ、皆様が今後期待する展開を教えてください […]


© 2020 Canonical Ltd. Ubuntu および Canonical は、Canonical Ltd の登録商標です。