CVEの優先順位付けを活用した、オープンソースのセキュリティ確保
by cmoullec on 7 May 2020
最近の調査によると、エンタープライズ市場のアプリケーションの96%が、オープンソースソフトウェアを使用しています。オープンソースの世界がますます細分化していくなかで、組織の潜在的なセキュリティの脆弱性を評価することは、非常に困難な作業になります。Ubuntuは最も安全なオペレーティングシステムの1つとして知られていますが、それはなぜでしょうか? Ubuntuがセキュリティにおけるリーダーであるのは、毎日、Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートされたソフトウェアパッケージをリリースしているからです。この作業は24時間、365日体制で継続的に行われています。実際には、セキュリティチームは平均して1日に3つ以上のアップデートを提供しています。また、きわめて重要なアップデートは準備され、テストされた後に24時間以内にリリースされます。このような結果を出すために、Canonicalは審査と優先順位付けを行い、最も重要なソフトウェアの脆弱性を最初に修正するための信頼性の高いプロセスを設計しました。ソフトウェアの脆弱性は共通脆弱性識別子(CVE)システムの一環として追跡されます。また、Ubuntuセキュリティ通知(USN) を介してUbuntuセキュリティチームが公開するセキュリティアップデートの大部分が、公開されている特定のCVEに対応しています。
信頼性の高いトリアージ(緊急度判定)プロセス
Ubuntuセキュリティチームは独自のCVEデータベースを管理しており、Ubuntuアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITREやNIST NVDを含むさまざまなソースから公開されている最新の脆弱性をトリアージしています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合には)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、パッケージにパッチ(アップストリームパッチを含む)を適用するために必要なあらゆる情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低)、medium(中)、high(高)、critical(危険)の範囲から優先順位が割り当てられます。続いて、この優先順位によって、Ubuntuセキュリティチームが最初にどの脆弱性に対応すべきであるかを判断します。
広範なCVE審査
CVEの深刻度を評価するための一般的な方法として、共通脆弱性評価システム(CVSS)があります。このシステムは、特定の脆弱性の深刻度を数値化し、他の脆弱性との比較ができるように設計されています。特定のCVEのCVSSスコアは、多数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな測面についての考察が可能になりますが、欠点も多くあります。特に、CVSSは脆弱性の技術的な深刻度を評価するために設計されていますが脆弱性の優先順位付けやリスク評価の手段として誤った使い方をされることが頻繁にあります。特定のソフトウェアパッケージがインストールまたは使用されている可能性があるか、パッケージのデフォルト構成で脆弱性が軽減されるかどうか、脆弱性に対する既知のエクスプロイトが存在しているかどうかなど、特定の脆弱性についてCVSSでは捉えられないさまざまな側面を考慮することが重要です。
適切なCVEの優先順位付け
一方、Ubuntuセキュリティチームによって割り当てられる優先度の値は、これらの要素やその他の要素を捕捉するために設計されています。そのため、この優先度の値は、サーバー、デスクトップ、クラウド、IoTのあらゆるUbuntuのインスタンスを考慮したセキュリティソフトウェアアップデートの優先順位付けのための効果的な指標として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーの入力なしにリモートで攻撃される場合など)は、優先順位がcritical(危険)またはhigh(高)になります。影響を受けるユーザーが少なく、ユーザーによる入力を必要とする、あるいはサービス拒否のように影響の小さい脆弱性の場合は、優先順位はmedium(中)、low(低)、またはnegligible(影響が少ない)になります。このようなCVEの優先順位付けは、脆弱性ごとにケースバイケースで行われます。また、特定の脆弱性がUbuntuアーカイブの複数のパッケージに該当する可能性があるため、この優先順位はパッケージごとの脆弱性についても割り当てられます。このようにして、CVSSスコアとは関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす可能性の高い脆弱性が最初に修正され、既知のソフトウェアの脆弱性により攻撃されるリスクは可能な限り抑えられます。
各脆弱性に対して割り当てられた優先順位、およびCVEの優先順位付けの一環として各優先順位の割り当てに使用される基準の詳細については、Ubuntu CVE Trackerをご覧ください。
ニュースレターのサインアップ
関連記事
PostgreSQLをAIに活用
AIを扱うことはデータを扱うこと。数値データから動画や画像まで、業界や用途を問わず、AIプロジェクトは何らかの形でデータに依存します。問題は、そのデータをどうやって効率的に保管し、モデルを構築する際に使用するかです。解決策の1つは、実績があり、愛好者の多いデータベースであるPostgreSQLです。近年の開発により、AIをサポートする有力な選択肢になっています。 PostgreSQLを選ぶべき理由 PostgreSQLはオープンソースで高機能のデータベースシステムです。外部キー、サブクエリ、トリガーのほか、さまざまなユーザー定義型や関数をサポートしています。近年はデータベース分野で人気を高め、2023年には年間最優秀データベース管理システム(DBMS)に選出されました。 […]
CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長
Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]
新しいマスコットの「戴冠式」:Noble Numbat(高貴なるナンバット)
人気投票、神の意志、剣を授ける湖の乙女など何で選ばれたにしても、王座につくのはたいてい名高い者や高貴な生まれの者です。20周年の前日にUbuntu 24.04 LTSのマスコットとしてNoble Numbatを発表できることをうれしく思います。 貧しい生まれ オーストラリアに生息する小さくて地味な有袋類のナンバット(フクロアリクイ)に、高貴というイメージはないかもしれません。しかし、見た目に騙されてはなりません。絶滅が危惧されるこの不思議な動物は、実はポケットサイズのアリクイ。自身の体長の3分の1もある舌でアリだけ食べて生活しています。背中には王様のローブのような黒と白の縞模様があり、西オーストラリア州の動物の紋章に選ばれています。ナンバットは、貧しい生まれの者が世界に足 […]