検査結果の報告では、発見された脆弱性を個別に5段階評価する。ではシステム全体の評価はどう算出すべきだろうか。
前回「報告、それは脆弱性検査の『序章』」では、脆弱性検査の結果とどのように向き合うかを解説してきた。ペネトレーションテスターが何を注意しながら報告書を作成しているのか、お分かりいただけたかと思う。
その続きとなるが、報告書作成や報告の際に筆者が注意している点がある。それは、検査対象の危険度の「訴求」である。
検査を行い、報告書を作成し、提出したというだけでは、そのシステムがどの程度危険であるのか、また、逆にどの程度安全であるのかは伝わらない。検査の結果「システムはどの程度のセキュリティレベルであるのか」をお客様に伝えることができなければ、検査を行った意味がないといっても過言ではないだろう。
危険度をお客様に伝える手段としては、前述した検査対象の評価と、危険度の基準、そして重み付けである。まずは検査対象の評価について解説しよう。
検査対象の評価は、検査を通じて検出された脆弱性から、対象がどの程度のセキュリティレベルであるのかということを評価するものである。この評価方法は報告書を作成する組織ごとに違うのだが、たいていの場合、3段階、または5段階で示すことが多い。
評価項目の例 | |
---|---|
3段階 | 「安全」「普通」「危険」 「○」「△」「×」 「A」「B」「C」など |
5段階 | 「S」「A」「B」「C」「D」 「A」「B」「C」「D」「E」 「AAA」「AA」「A」「B」「C」など |
表1 報告書で利用する評価項目の例 |
今回は、筆者になじみの深い5段階評価、「S」「A」「B」「C」「D」のパターンで解説する。これは「S」から「D」の順で評価が低く、リスクレベルが高いということになる。
それでは、「S」から「D」のそれぞれの目安を見ていこう。
◆[S]
OS、アプリケーションにおいて、侵入、もしくは、センシティブデータ(個人情報などの機密情報)の窃取などの実証が可能な脆弱性がまったく認められない状態を指す。セキュリティ上、対策すべき事項が見当たらない、最もセキュリティレベルが高いと評価されるものである。
◆[A]
OS、アプリケーションにおいて、侵入、もしくはセンシティブデータの窃取などの実証が可能な脆弱性が認められない状態ではあるが、バージョンや挙動の判断などによる、未実証の脆弱性が検出されている状態。また、軽微なシステムの情報を入手可能な脆弱性が認められる状態を指す。
◆[B]
OS、アプリケーションにおいて、侵入、もしくは、センシティブデータの窃取などの実証が可能な脆弱性が認められない状態ではあるが、バージョンや挙動の判断などによる、未確認の脆弱性が検出されている状態。また、システムの情報を入手可能な脆弱性が認められる状態を指す。
◆[C]
一般権限ユーザーでOSレベルの侵入が可能な状態。もしくは、アプリケーションレベルでの侵入を許してしまい、内部の重要なデータの閲覧が可能である状態。または、不正行為に利用されるなど、社会的信用失墜につながるレベルを指す。
◆[D]
管理者権限ユーザーでOSレベルの侵入が可能な状態。緊急対処が必要な、危険な状態を指す。
簡単に言い換えれば、その評価が下された検査対象は、外部【注1】からの一切の制御を奪取可能である。よって、システムができることは、どんなことでもできてしまうということになる。
【注1】
検査対象の外という意味であり、インターネットからという意味ではない。
どの評価であれば問題ないと判断できるだろうか。筆者としては、「A」以上のランクを目指していただきたいと考えている。しかし過去の検査を振り返ると、最も多い評価は「B」である。これは、世の中の多くのシステムが、侵入やセンシティブデータの窃取にまで至らないにしても、なんらかの問題を抱えて運用されているということであろう。
Windowsが最も分かりやすいのだが、基本的に月に1回、修正プログラムがリリースされる。そのリリースされる修正プログラムの数もまちまちで、まったくリリースのない月もあれば、20件以上のリリースが行われる場合もある。
報告会で話を聞いてみると、修正プログラムのリリースから1カ月以内に適用を行うといったポリシーで運用している組織も多い。そのような組織に対しても、修正プログラムがリリースされてから適用するまでのタイミングの間に検査した場合は、修正プログラムが未適用であるという指摘がされることになる。
ペネトレーションテストでは、侵入可否判断やセンシティブデータ窃取の可否判断が、検査対象の評価を大きく左右する指標となる。そのため、評価「B」以上であれば、問題を抱えてはいるものの、実害を与えることはできないレベルであるということがいえる。検査の結果はギリギリ大丈夫、という見方もできるだろう。健康診断でいうところの経過観察事項といったところだろうか。
しかし、時間の経過とともに状況は変化する。Exploitのリリース状況をウォッチしていると分かるのだが、検査時点では攻撃手法が確立していない脆弱性でも、数日間というオーダーで攻撃コードがリリースされ、「B」から「D」へとなる可能性はゼロではない。
「C」「D」であればなんらかの被害を与えられることが立証できている状況であるため、早急に対処が必要であることが分かるだろう。そういう意味で「B」は、「検査時点では早急な対処が必要であるとまでは言い切れないものの、脆弱性が内在している」ということが判明しているため、「C」や「D」にランクされる予備軍であるといえる。
よって報告会では、対処をどのような手順でいつまでに行うか、という是正処置計画を立案し、実行することを強く推奨している。
この報告により、お客様がどう判断されるかはお客様の判断に委ねられている。もちろん、是正を行っていく上での相談については、可能な限り対応するという前提のもとである。
Copyright © ITmedia, Inc. All Rights Reserved.