CVEの優先度付けでオープンソースのセキュリティを確保
by Canonical on 26 October 2023
最近の調査によれば、企業向けアプリケーションの96%がオープンソースソフトウェアを使用しています。オープンソース環境は断片化が進み、組織における潜在的なセキュリティの脆弱性の影響を評価することは極めて困難です。Ubuntuは非常に安全なオペレーティングシステムとして知られていますが、なぜでしょうか? Ubuntuはセキュリティにおけるリーダーです。なぜなら、毎日Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートしたソフトウェアパッケージをリリースしているからです。セキュリティチームは平均して1日に3つ以上のアップデートを提供します。また、重要なアップデートは24時間以内に準備、テスト、リリースを行います。このためCanonicalは、ソフトウェアの脆弱性を審査して優先度を付け、最も重要なものを最初に修正するプロセスを確立しました。ソフトウェアの脆弱性は共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)システムの要素として追跡され、(Ubuntuセキュリティ通知 [USN] を通じて)Ubuntuセキュリティチームによって公開されたセキュリティアップデートの大部分は公開された特定のCVEに対応しています。
信頼性の高いトリアージ(緊急度判定)プロセス
Ubuntuセキュリティチームは独自のCVEデータベースを管理して、Ubuntuのアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITREやNIST NVDなどのさまざまな情報源から公開された最新の脆弱性に対して、トリアージ(緊急度の判定)を行っています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、(アップストリームパッチなど)パッケージにパッチを適用するための必要な情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低い)、medium(中間)、high(高い)、critical(危険)の範囲から優先度が割り当てられます。Ubuntuセキュリティチームはこの優先度に応じて、最初にどの脆弱性に対応すべきかを判断します。
セキュリティと安定性
ソフトウェアに変更を加えると、機能の不具合を誘発するリスクが常に発生します。Canonicalは変更のテストと検証を行うように努めていますが、すべてのユーザーのすべての事例をカバーすることは不可能であり、機能に影響が出るリスクをなくすことはできません。したがって、セキュリティ問題の修正によって得られる価値と、発生する不具合のリスクを常に比較して考える必要があります。このようなバランスは極めて微妙なため、明確なルールを定めることは困難です。ただし、優先度がlow(低い)やmedium(中間)である脆弱性については、修正によって発生する不具合のリスクを慎重に考慮する必要があります。コードの使用年数、バックポートのコード構造の違い、影響を受ける機能の範囲、パッケージのユーザー基盤などの要因をすべて考慮します。こうしてCanonicalはすべてのUbuntuユーザーに可能な限り安全で安定したプラットフォームを提供することを目指しています。
CVEの詳細な検討
CVEの深刻度を評価するための一般的な方法は、共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)です。このシステムは、特定の脆弱性の深刻度を示す数値を提供し、他の脆弱性との比較ができるようにするために設計されています。CVEのCVSSスコアは、複数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな局面についての考察が可能になりますが、特定の脆弱性によってもたらされるリスクを捕捉することはできません。CVSSは脆弱性の技術的な深刻度を評価するために設計されたものですが、多くの場合、むしろ脆弱性の優先度付けやリスク評価の手段として誤用されています。しかし実際には、それぞれの脆弱性についてCVSSでは捕捉されない点を考慮することが重要です。たとえば特定のソフトウェアパッケージがインストールまたは使用されているか、パッケージのデフォルト構成で脆弱性が軽減されるか、脆弱性に対する既知のエクスプロイトが存在しているかなどです。そのため、CVSSだけで脆弱性を比較して優先度を決定するとリスクプロファイルが不完全になるおそれがありまです。
CVE優先度の適切な決定
一方、Ubuntuセキュリティチームによって割り当てられる優先度は、Ubuntuの各ソフトウェアパッケージのさまざまな状況を考慮しています。このため、サーバー、デスクトップ、クラウド、IoTなどあらゆるUbuntuのインスタンスを考慮してセキュリティソフトウェアアップデートの優先度を決める有効な基準として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーが入力しなくてもリモートで悪用されるなど)は、優先度がcritical(危険)やhigh(高い)になります。影響が少数のユーザーのみである脆弱性や、ユーザーによる入力が必要な脆弱性、またはサービス拒否のように影響の小さい脆弱性の場合は、優先度がmedium(中間)、low(低い)、またはnegligible(影響が少ない)になります。優先度は脆弱性ごと決定されます。また、特定の脆弱性がUbuntuのアーカイブの複数のパッケージに該当する可能性があるため、パッケージごとの脆弱性にも優先度が指定されます。CVSSスコアと関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす脆弱性を最初に修正することで、既知のソフトウェアの脆弱性による攻撃のリスクを抑えます。 各脆弱性に指定される優先度や、各優先度の指定に使用される基準の詳細は、Ubuntu CVE Trackerをご覧ください。
ニュースレターのサインアップ
関連記事
まだCentOSをお使いの方に伝えたい6つの事実
CentOS 7が2024年7月にEoL(サポート終了)を迎えることは、2020年に発表されました。もうその日は過ぎましたが、CentOSが世界から消えたわけではありません。さぞユーザー数が減っただろうと思いきや、データによれば、企業の22%がCentOSの使用を継続しています。 これは少し意外です。CentOS 7のEoLが過ぎたにもかかわらず、多くの組織がまだ新しいシステムへの移行を迷っています。しかしCentOSのユーザーは、移行を先送りすればするほど、CentOS環境のセキュリティと機能の維持が難しくなるという事実を直視する必要があります。使い続けたいかもしれませんが、月日とともに依存関係が崩れ、手動でのパッチ適用作業が増え、スタックのあちこちに非互換性が生じます […]
Canonicalが12年間のKubernetes LTSを発表
CanonicalのKubernetes LTS(長期サポート)はFedRAMPのコンプライアンスに対応し、ベアメタル、パブリッククラウド、OpenStack、Canonical MicroCloud、VMwareで最小12年のセキュリティメンテナンスおよびエンタープライズサポートが保証されます。 2025年2月 – Canonicalは本日、Kubernetes 1.32以降、12年間のセキュリティメンテナンスとサポートを保証すると発表しました。新リリースは、インストール、運用、アップグレードが簡単な上、トップクラスのオープンソースネットワーキング、DNS、ゲートウェイ、メトリクスサーバー、ローカルストレージ、ロードバランサー、イングレスサービスを備えています。Cano […]
Canonicalが初のMicroCloud LTSリリースを発表
MicroCloud 2.1.0 LTSの提供開始により、Canonicalの長期サポート付きインフラストラクチャソリューションがさらに充実 Canonicalは本日、MicroCloud初の長期サポート(LTS)リリースを発表しました。MicroCloudはCanonicalのクラウドインフラストラクチャポートフォリオの新製品です。Ubuntuの発行元であるCanonicalは、2年に1度、Ubuntu LTSリリースを発表することで知られます。このたびMicroCloud LTSの追加により、エッジからロータッチのクラウドまで拡張性の高い仮想化ソリューションを求める組織への長期サポートを拡大します。 MicroCloud 2.1.0 LTSの特長は、シングルノード環境 […]
