情報セキュリティ
最終更新日:2015年7月22日
独立行政法人 情報処理推進機構
セキュリティセンター
CVE(Common Vulnerabilities and Exposures)
~一つ一つの脆弱性を識別するための共通の識別子~
共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*1)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。
CVEは、1999年1月20日~22日に、アメリカのパーデュ大学で開催された2nd Workshop on Research with Security Vulnerability Databasesにおいて、脆弱性に関する情報共有のための方法としてMITRE社によって提案されました。
現在は、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*3)の構成要素のひとつとなっています。
MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。
IPAとJPCERT/CCが共同で運営しているJVN(*4)、およびJVN iPedia(JVNDB)(*5)も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」の一つとして公示されるようになりました。
CVEにはCVE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCVE識別番号の正確な表示、適切な関連付け、CVE識別番号による情報の検索などの機能要件を満たし、MITRE社へ申請するとCVE互換認定が受けられます。CVE互換認定を受けると、MITRE社のウェブサイトで紹介される、CVEのロゴが使用できる等のメリットがあります。
JVN、JVN iPedia、脆弱性対策情報収集ツールMyJVN(*6)も2010年1月にCVE互換認定を受けました。
本資料は、MITRE社から2007年12月6日に公開されたRequirements and Recommendations for CVE Compatibilityバージョン1.1、および2007年5月21日に公開されたCVE Compatibility Processの資料を基に作成しました。詳細は、MITRE社の資料を参照下さい。
共通脆弱性識別子CVEでは、『プログラム上のセキュリティ問題』を一意に識別するために、脆弱性に対してCVE識別番号を付与します。
このCVE識別番号は「CVE-西暦-連番」と構成されており、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成されるCVE Editorial Boardと呼ぶ機関が、報告のあった脆弱性を評価し割り当て作業を行っています。
JVNおよびJVN iPediaが公開している脆弱性対策情報にも、CVE識別番号が付与された情報が多数あります。例えば、情報セキュリティ早期警戒パートナーシップで届けられた脆弱性には、表1のようなCVE識別番号が割り当てられています。
Apache HTTP Server の mod_imapおよびmod_imagemapにおけるクロスサイトスクリプティングの脆弱性 |
|
---|---|
X.Org Foundation製Xサーバにおけるバッファオーバーフローの脆弱性 |
|
Apache Tomcatにおいて権限のないクライアントからのリクエストが実行されてしまう脆弱性 |
|
アイ・オー・データ製HDL-Fシリーズにおけるクロスサイトリクエストフォージェリの脆弱性 |
CVE識別番号の割り当ては1999年から始まり、2008年12月末日現在、3万4千件を超える脆弱性にCVE識別番号が割り当てられています。
MITRE社では、これまで割り当ててきたCVE識別番号を「脆弱性の概要(Description)」「参考URL(References)」「ステータス(Status)」と共に、一覧としてCVE識別番号管理サイト(http://cve.mitre.org)から提供しています(図1)。
割り当てられたCVE識別番号に関する脆弱性の概要で、プログラム自身に内在する『プログラム上のセキュリティ問題』が、どのような問題であるかという内容が記載されています。
割り当てられたCVE識別番号に関連する脆弱性関連情報の一覧で、CVE情報源サイトや製品開発ベンダサイトのURLなどがリストアップされています。図1の事例の場合、参考URL(References)の下段に、CVEの情報源サイトとしてJVN:JVN#30732239が登録されています。
割り当てられたCVE識別番号の進捗状態で、「候補(Candidate)」と「登録(Entry)」の二つがあります。「候補(Candidate)」は、割り当てられたCVE識別番号が脆弱性に該当するかどうかを検討中であることを示しています。「登録(Entry)」は、割り当てられたCVE識別番号が承認され、報告された内容が脆弱性であると判断されたことを示しています。
なお、識別番号の割り当てを開始した当初は、「候補(Candidate)」の状態にある識別子には「CAN-西暦-連番」、「登録(Entry)」の状態にある識別子には「CVE-西暦-連番」が付与されていましたが、2005年10月19日以降CANというプレフィックスを廃止され,表記上はすべて「CVE-西暦-連番」に統一されました。
CVEを利用した脆弱性対策を進めていく上で、脆弱性対策情報の相互参照や関連付けが適切に運用されることは重要なポイントです。
このため、CVEを利用している侵入検知ツール、脆弱性検査ツールや脆弱性対策情報提供サービスが適切な運用を行っていることを保証していく枠組みとして、CVE互換という認定制度があります。
CVE互換の認定では、侵入検知ツール、脆弱性検査ツールなどの製品だけではなく、侵入検知管理サービス、遠隔スキャンサービスなどの脆弱性対策サービスなども対象となっています。
CVE互換として認定されるためには、ツールやサービスが次のような要件を満たしている必要があります。また、すべての要件を満たさない限り、CVE互換を認定されたと公示してはならないという約束になっています。
2010年2月末日時点で、CVE互換の認定を受けた組織数は51、製品/サービス数は93、CVE互換の認定手続き中の組織数は94、製品/サービス数は168となっています。
CVE互換の認定プロセスは、「宣言」「評価」の2ステップから構成されています。
CVE互換の認定を希望する組織が、ツールやサービスがCVE互換の認定要件を満たすよう対応していくという意思表示のフェーズで、次のような手続きを行う必要があります。
審査機関であるMITRE社から、CVE互換の認定を受けるための評価フェーズです。CVE互換の認定を希望する組織から提出された「CVE互換要件評価フォーム」(要件をどのように満たしているのかを詳細に記載した申請書)を元に、審査が行なわれます。
JPCERT/CCおよびIPAでは、JVN、JVN iPedia、MyJVNを対象に、CVE互換の認定を受けるための各種機能やデータ整備作業を進め、2010年1月5日、CVE互換認定を受けました。
次のCVE識別番号管理サイトのページで紹介されています。
ステップ1「宣言」で必須要件である「CVE検索」「CVE表示」「CVE文書整備」の3条件と、脆弱性情報には該当するCVE識別番号を適切に関連付ける「対応付け」については、表2に示す機能で実現しています。
CVE検索 |
|
---|---|
CVE表示 |
|
CVE表示 |
|
CVE表示 |
|
CVE文書整備 |
|
対応付け |
|
今後も、CVE情報源サイトとして脆弱性対策情報提供の連携に取り組んでいくと共に、グローバルなJVN、JVN iPedia、MyJVNの実現に向けた機能改善ならびに環境整備を図っていきます。
IPA セキュリティセンター(IPA/ISEC)
2015年7月22日
参考情報を追加
2014年3月20日
参考情報を追加
2010年6月24日
参考情報を追加
2010年2月25日
参考情報を追加
2009年1月26日
掲載