【ニュースリリース】「セキュリティ情報配信サービス」に機能追加

～世界共通のシステム脆弱性深刻度評価指標を追加、セキュリティ脅威に対し迅速かつ適切な対応が可能に～

ニュースリリース - 2019.01.25

ＮＴＴデータ先端技術株式会社（以下：ＮＴＴデータ先端技術）は、ソフトウエア等に関する脆弱性情報、セキュリティ事件の情報等を提供する「セキュリティ情報配信サービス」に対し、世界共通で用いられているシステム脆弱性深刻度評価（以下：CVSS Base Score）^*1を追加し、1月28日より提供を開始します。
「セキュリティ情報配信サービス」は多様なOS/ソフトウエアに対応した脆弱性情報の配信、および不正アクセス監視情報の統計・解説情報をお客さま専用ポータルサイトおよびメールで提供し、CSIRT^*2活動の1つである「セキュリティ関連情報収集」を支援するサービスです。
今回「セキュリティ情報配信サービス」に対し、世界共通の指標である「CVSS Base Score」を実装しました。「CVSS Base Score」はシステム単位で評価する「CVSS v2」と、攻撃の難易度と、攻撃を受けた場合に影響がおよぶ範囲をコンポーネント単位で評価する「CVSS v3」があります。これら双方が確認できるようになることで、利用者は脆弱性を悪用された際におよぶリスク（深刻度）を把握でき、事故発生前の対応および事故発生時の迅速な原因究明・対処など、日々進化するさまざまな脅威に対応することが可能になります。
従来は各ベンダーが独自で算出しているシステム脆弱性深刻度について、今回「CVSS Base Score」を実装したことで、自社システムの脆弱性がどの程度か/どの程度緊急で対応するべきかを、企業のシステム管理者やユーザー等問わず共通認識が持てるため、セキュリティ脅威に対して迅速かつ適切な対応判断ができるようになります。
ＮＴＴデータ先端技術は本サービスの提供により、2020年度までに500社への導入を目指します。

背景

日々多様化するサイバー攻撃から自社システムを守るためには、企業の情報システム部門やセキュリティの専門家がシステムの脆弱性深刻度および対応の緊急性について共通の認識をもつ必要があります。しかし従来、これらはベンダーが固有で算出した値を用いられることが多く、人によって深刻度の認識にばらつきが生じるという課題がありました。
ＮＴＴデータ先端技術は、2012年5月より一般企業向けに「セキュリティ情報配信サービス」の提供を開始し、CSIRT活動の1つである「セキュリティ関連情報収集」の支援を行ってきました。
そして今回、上記のような課題を解決するべく「セキュリティ情報配信サービス」に対し世界共通指標である「CVSS Base Score」 を追加し、1月28日より提供を開始することとしました。

「セキュリティ情報配信サービス」の概要

「セキュリティ情報配信サービス」は、情報システムの脆弱性情報や不正アクセス監視情報をはじめ、セキュリティ事件・事故等に関する情報をお客さま専用ポータルサイトおよびメールにて配信することで、CSIRT活動の1つである「セキュリティ関連情報収集」を支援します。今回は本サービスに対し、世界共通のシステム脆弱性深刻度評価指標「CVSS Base Score」を追加しました。

図：「セキュリティ情報配信サービス新機能」イメージ

追加機能の概要および特長

今回追加した「CVSS Base Score」の概要および特長は下記の通りです。

① 世界標準の「CVSS Base Score」評価を採用し、ベンダーや人による深刻度の“認識のばらつき”を解消

「CVSS Base Scoreは」、Forum of Incident Response and Security Teams（FIRST）^*3が管理しているシステム脆弱性深刻度の指標です。具体的には、システムに求められる3つのセキュリティ特性である「①機密性（正当なユーザーだけがアクセスできる）」、「②完全性（情報が正確である）」、「③可用性（必要な時に利用可能な状態になっている）」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価・算出されます。算出される影響度は各項目0～10の値で表示され、数値が大きくなるごとに深刻度が増します。
世界標準である「CVSS Base Score」を参照できるようになることで、ベンダーや人の知識・経験に依存することなく、システムの脆弱性深刻度を確認することができます。

② システム単位での評価が可能な「CVSS v2」と、さらにコンポーネント単位での評価手法を取り込んだ「CVSS v3」に対応することで、日々進化するさまざまな脅威に対応可能

CVSS評価には攻撃対象となるホストやシステムにおいての『脆弱性による深刻度』を評価する「CVSS v2」と、さらに評価項目が追加された「CVSS v3」があります。「CVSS v3」では、攻撃を実行する際に必要となる『必要な特権レベル』の評価、攻撃を実行する際に“攻撃対象のユーザーが何もしなくても攻撃可能か、あるいは特定のURLのクリック等、何かしらの行動が必要か”といった『ユーザー関与レベル』等の評価項目が追加され、システム単位のみならずコンポーネントまで細分化して評価できます。
今回の機能追加ではこれら「CVSS v2」および「CVSS v3」に対応しており、脆弱性を悪用された場合におよぶ影響を事故発生前に確認・対応できるほか、事故発生時の迅速な原因究明・対処など、日々進化するさまざまな脅威に対応することができます。

③ 「CVE識別番号」情報を付加することで、迅速に適切な対処が可能

「CVSS Base Score」の値と紐づく、脆弱性がもつ固有のID「CVE識別番号」^*4を合わせて提供します。「CVE識別番号」は米国政府の支援を受けた非営利団体のMITRE社^*5が採番している識別子で、脆弱性の概要や、製品開発ベンダーサイト等、その脆弱性に関連する情報のURL等を参照することができます。世界標準の「CVSSの値」と「CVE識別番号」を併せて確認できることから、迅速かつ適切なパッチ適用判断をすることができるようになります。

今後について

ＮＴＴデータ先端技術は、自社でCSIRT活動を展開するような大規模企業をはじめ、専任の情報セキュリティ組織を持たない企業まで幅広く本サービスを提供していくことで、2020年度までに500社への導入を目指します。

参考

• セキュリティ情報配信サービス：
  http://www.intellilink.co.jp/business/security/scrutiny_03

• ＊1「CVSS Base Score（シーブイエスエス・ベーススコア）」とは、Forum of Incident Response and Security Teams（FIRST）が管理している危険度情報(CVSS：Common Vulnerability Scoring System)の基本値です。CVSSは脆弱性そのものの特性を評価する基準であり、Base Scoreは情報システムに求められる3つのセキュリティ特性、「機密性（ Confidentiality Impact ）」、「完全性( Integrity Impact ）」、「可用性( Availability Impact ）」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、算出されます。この基準による評価結果は固定であり、時間の経過や利用環境の異なりによって変化しません。また、ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準となっています。
• ＊2「CSIRT(Computer Security Incident Response Team)」とは、組織内の情報セキュリティ事故等の問題を専門に扱うインシデント対応チームのことです。
• ＊3「FIRST」とは、コンピュータセキュリティインシデント対応チームフォーラムであり、コンピュータセキュリティに関するインシデント（事故）への対応・調整・サポートをするCSIRTの連合体を指します。
• *4「CVE（Common Vulnerabilities and Exposures）」は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。
• *5「MITRE」とは、米国政府向けの技術支援や研究開発を行う非営利組織です。

• ＊文中の商品名、会社名、団体名は、各社の商標または登録商標です。

本件に関するお問い合わせ先

報道関係のお問い合わせ先

ＮＴＴデータ先端技術株式会社

営業推進部 営業推進担当 広報グループ
甘田（かんだ）
Tel：03-5843-6860

製品・サービスに関するお問い合わせ先

ＮＴＴデータ先端技術株式会社

セキュリティ事業部 セキュリティコンサルティング担当
河島、小境
Tel：03-5859-5433