CVEの優先度付けでオープンソースのセキュリティを確保
by Canonical on 26 October 2023
最近の調査によれば、企業向けアプリケーションの96%がオープンソースソフトウェアを使用しています。オープンソース環境は断片化が進み、組織における潜在的なセキュリティの脆弱性の影響を評価することは極めて困難です。Ubuntuは非常に安全なオペレーティングシステムとして知られていますが、なぜでしょうか? Ubuntuはセキュリティにおけるリーダーです。なぜなら、毎日Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートしたソフトウェアパッケージをリリースしているからです。セキュリティチームは平均して1日に3つ以上のアップデートを提供します。また、重要なアップデートは24時間以内に準備、テスト、リリースを行います。このためCanonicalは、ソフトウェアの脆弱性を審査して優先度を付け、最も重要なものを最初に修正するプロセスを確立しました。ソフトウェアの脆弱性は共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)システムの要素として追跡され、(Ubuntuセキュリティ通知 [USN] を通じて)Ubuntuセキュリティチームによって公開されたセキュリティアップデートの大部分は公開された特定のCVEに対応しています。
信頼性の高いトリアージ(緊急度判定)プロセス
Ubuntuセキュリティチームは独自のCVEデータベースを管理して、Ubuntuのアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITREやNIST NVDなどのさまざまな情報源から公開された最新の脆弱性に対して、トリアージ(緊急度の判定)を行っています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、(アップストリームパッチなど)パッケージにパッチを適用するための必要な情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低い)、medium(中間)、high(高い)、critical(危険)の範囲から優先度が割り当てられます。Ubuntuセキュリティチームはこの優先度に応じて、最初にどの脆弱性に対応すべきかを判断します。
セキュリティと安定性
ソフトウェアに変更を加えると、機能の不具合を誘発するリスクが常に発生します。Canonicalは変更のテストと検証を行うように努めていますが、すべてのユーザーのすべての事例をカバーすることは不可能であり、機能に影響が出るリスクをなくすことはできません。したがって、セキュリティ問題の修正によって得られる価値と、発生する不具合のリスクを常に比較して考える必要があります。このようなバランスは極めて微妙なため、明確なルールを定めることは困難です。ただし、優先度がlow(低い)やmedium(中間)である脆弱性については、修正によって発生する不具合のリスクを慎重に考慮する必要があります。コードの使用年数、バックポートのコード構造の違い、影響を受ける機能の範囲、パッケージのユーザー基盤などの要因をすべて考慮します。こうしてCanonicalはすべてのUbuntuユーザーに可能な限り安全で安定したプラットフォームを提供することを目指しています。
CVEの詳細な検討
CVEの深刻度を評価するための一般的な方法は、共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)です。このシステムは、特定の脆弱性の深刻度を示す数値を提供し、他の脆弱性との比較ができるようにするために設計されています。CVEのCVSSスコアは、複数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな局面についての考察が可能になりますが、特定の脆弱性によってもたらされるリスクを捕捉することはできません。CVSSは脆弱性の技術的な深刻度を評価するために設計されたものですが、多くの場合、むしろ脆弱性の優先度付けやリスク評価の手段として誤用されています。しかし実際には、それぞれの脆弱性についてCVSSでは捕捉されない点を考慮することが重要です。たとえば特定のソフトウェアパッケージがインストールまたは使用されているか、パッケージのデフォルト構成で脆弱性が軽減されるか、脆弱性に対する既知のエクスプロイトが存在しているかなどです。そのため、CVSSだけで脆弱性を比較して優先度を決定するとリスクプロファイルが不完全になるおそれがありまです。
CVE優先度の適切な決定
一方、Ubuntuセキュリティチームによって割り当てられる優先度は、Ubuntuの各ソフトウェアパッケージのさまざまな状況を考慮しています。このため、サーバー、デスクトップ、クラウド、IoTなどあらゆるUbuntuのインスタンスを考慮してセキュリティソフトウェアアップデートの優先度を決める有効な基準として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーが入力しなくてもリモートで悪用されるなど)は、優先度がcritical(危険)やhigh(高い)になります。影響が少数のユーザーのみである脆弱性や、ユーザーによる入力が必要な脆弱性、またはサービス拒否のように影響の小さい脆弱性の場合は、優先度がmedium(中間)、low(低い)、またはnegligible(影響が少ない)になります。優先度は脆弱性ごと決定されます。また、特定の脆弱性がUbuntuのアーカイブの複数のパッケージに該当する可能性があるため、パッケージごとの脆弱性にも優先度が指定されます。CVSSスコアと関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす脆弱性を最初に修正することで、既知のソフトウェアの脆弱性による攻撃のリスクを抑えます。 各脆弱性に指定される優先度や、各優先度の指定に使用される基準の詳細は、Ubuntu CVE Trackerをご覧ください。
ニュースレターのサインアップ
関連記事
アプリケーションセキュリティ(AppSec)とは?
サイバーセキュリティの世界は変わりました。サイバー攻撃、マルウェア、ランサムウェアのリスク増大に加え、新しいサイバーセキュリティ規制の圧力、情報漏洩や違反にかかる高額の罰金により、もはやアプリケーションセキュリティ(AppSec)は必須です。 このブログ記事では、このような課題に対処し、基本的なセキュリティ対策を中心として業務やシステムを守る方法を紹介します。AppSecの概要と利点、AppSecの設計と実装に取り組む方法を説明した後、セキュリティに関するCanonicalチームのアドバイスとAppSecのベストプラクティスを検討しましょう。 AppSecとは アプリケーションセキュリティ(略してAppSec)とは、アプリケーションのライフサイクルを通じて脆弱性の悪用を防 […]
ITチームの70%がセキュリティパッチの適用に6時間以上– IDCの最新調査
TL;DR(要約):IDC の新調査によると、70%以上の IT チームが週に 6 時間以上をセキュリティパッチに費やしており、多くが業務負担と感じています。Ubuntu Pro のような自動化されたセキュリティ対応が注目されています。この調査は、CVE 対応やオープンソースの脆弱性管理にも言及しており、Ubuntu Pro の価値が改めて浮き彫りになりました。 ———————————————————————————————————————————— CanonicalとIDC(International Data Corporation)社による最新の調査結果:企業はCVE(共通脆弱性識別子)パッチ適用の指令に従った修正の適用に苦労し、オープンソースサプライチェーンにお […]
脆弱性を見つける方法
脆弱性の評価を行う方法 情報セキュリティの世界は専門用語だらけです。脆弱性関連の用語を見たことがある方ならご存じでしょう。さらに厄介なのは、複数の用語が同じ意味に使用されたり、コンピューター以外の分野で使用される用語が混じっていたりすることです。これは、脆弱性の評価について学びたいと考えている人にとって混乱の元です。ですからこのブログ記事では、Ubuntu環境の脆弱性評価について掘り下げる前に、用語の意味を解説します。 脆弱性とは 脆弱性とは、攻撃者による悪用やユーザーのミスによって損害を引き起こす可能性のあるすべての欠陥です。リスク管理において脆弱性は、脅威の可能性を高める、または攻撃が成功したときの損失を増やす、あるいはその両方によって、リスクを増大させます。 サイバ […]
