CVEの優先順位付けを活用した、オープンソースのセキュリティ確保

Securing open source through CVE prioritisation

最近の調査によると、エンタープライズ市場のアプリケーションの96%が、オープンソースソフトウェアを使用しています。オープンソースの世界がますます細分化していくなかで、組織の潜在的なセキュリティの脆弱性を評価することは、非常に困難な作業になります。Ubuntuは最も安全なオペレーティングシステムの1つとして知られていますが、それはなぜでしょうか? Ubuntuがセキュリティにおけるリーダーであるのは、毎日、Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートされたソフトウェアパッケージをリリースしているからです。この作業は24時間、365日体制で継続的に行われています。実際には、セキュリティチームは平均して1日に3つ以上のアップデートを提供しています。また、きわめて重要なアップデートは準備され、テストされた後に24時間以内にリリースされます。このような結果を出すために、Canonicalは審査と優先順位付けを行い、最も重要なソフトウェアの脆弱性を最初に修正するための信頼性の高いプロセスを設計しました。ソフトウェアの脆弱性は共通脆弱性識別子(CVE)システムの一環として追跡されます。また、Ubuntuセキュリティ通知(USN) を介してUbuntuセキュリティチームが公開するセキュリティアップデートの大部分が、公開されている特定のCVEに対応しています。

信頼性の高いトリアージ(緊急度判定)プロセス

Ubuntuセキュリティチームは独自のCVEデータベースを管理しており、Ubuntuアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITRENIST NVDを含むさまざまなソースから公開されている最新の脆弱性をトリアージしています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合には)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、パッケージにパッチ(アップストリームパッチを含む)を適用するために必要なあらゆる情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低)、medium(中)、high(高)、critical(危険)の範囲から優先順位が割り当てられます。続いて、この優先順位によって、Ubuntuセキュリティチームが最初にどの脆弱性に対応すべきであるかを判断します。

広範なCVE審査

CVEの深刻度を評価するための一般的な方法として、共通脆弱性評価システム(CVSS)があります。このシステムは、特定の脆弱性の深刻度を数値化し、他の脆弱性との比較ができるように設計されています。特定のCVEのCVSSスコアは、多数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな測面についての考察が可能になりますが、欠点も多くあります。特に、CVSSは脆弱性の技術的な深刻度を評価するために設計されていますが脆弱性の優先順位付けやリスク評価の手段として誤った使い方をされることが頻繁にあります。特定のソフトウェアパッケージがインストールまたは使用されている可能性があるか、パッケージのデフォルト構成で脆弱性が軽減されるかどうか、脆弱性に対する既知のエクスプロイトが存在しているかどうかなど、特定の脆弱性についてCVSSでは捉えられないさまざまな側面を考慮することが重要です。

適切なCVEの優先順位付け

一方、Ubuntuセキュリティチームによって割り当てられる優先度の値は、これらの要素やその他の要素を捕捉するために設計されています。そのため、この優先度の値は、サーバー、デスクトップ、クラウド、IoTのあらゆるUbuntuのインスタンスを考慮したセキュリティソフトウェアアップデートの優先順位付けのための効果的な指標として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーの入力なしにリモートで攻撃される場合など)は、優先順位がcritical(危険)またはhigh(高)になります。影響を受けるユーザーが少なく、ユーザーによる入力を必要とする、あるいはサービス拒否のように影響の小さい脆弱性の場合は、優先順位はmedium(中)、low(低)、またはnegligible(影響が少ない)になります。このようなCVEの優先順位付けは、脆弱性ごとにケースバイケースで行われます。また、特定の脆弱性がUbuntuアーカイブの複数のパッケージに該当する可能性があるため、この優先順位はパッケージごとの脆弱性についても割り当てられます。このようにして、CVSSスコアとは関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす可能性の高い脆弱性が最初に修正され、既知のソフトウェアの脆弱性により攻撃されるリスクは可能な限り抑えられます。

各脆弱性に対して割り当てられた優先順位、およびCVEの優先順位付けの一環として各優先順位の割り当てに使用される基準の詳細については、Ubuntu CVE Trackerをご覧ください。

Newsletter signup

Select topics you’re
interested in

In submitting this form, I confirm that I have read and agree to Canonical’s Privacy Notice and Privacy Policy.

Related posts

We are changing the way you build snaps from GitHub repos

On the 11th March 2020 we introduced a new process for building a snap using GitHub repos to snapcraft.io. Here is all you need to know about this update....

GNOME 3.34 snapcraft extension

We constantly strive to empower developers. Part of that aim extends to making development easier, for example improving build tools and documentation. As an...

An adventure through the Snap Store

An application store with a large number of entries is a double-edged sword. It’s often a good sign of a vibrant, thriving community of software creators,...