たった1つの脆弱性がもたらすシステムの“破れ”:セキュリティ対策の「ある視点」(16)(2/3 ページ)
検査結果の報告では、発見された脆弱性を個別に5段階評価する。ではシステム全体の評価はどう算出すべきだろうか。
脆弱性の指標
次に、検査対象で検出された指摘事項、つまり、脆弱性と判断できる項目の指標について解説しよう。
指摘事項の呼び方や指標も、呼び方としては、「リスク」「危険度」「対策優先度」などなど、検査企業ごとにさまざまである。指標としては、3段階、もしくは、5段階で示されることが多い。
| 脆弱性指標の例 | |
|---|---|
| 3段階 | 「緊急」「重要」「警告」 「高」「中」「低」 「High」「Med」「Low」など |
| 5段階 | 「5」「4」「3」「2」「1」 「緊急」、「重大」、「高度」、「中度」、「低度」など |
| 表2 報告書で利用する脆弱性指標の例 | |
これに加えて、危険とまではいかず、ベンダなどが示す推奨設定などを行っていない場合などでは「注意」、「インフォメーション」や「そのほか」などとして示し、1段階追加された、4段階、6段階で示す場合もある。
今回は、検査対象の評価と合わせて、6段階(危険なものとしては5段階)評価、「5」「4」「3」「2」「1」のパターンで解説させていただく。「5」が最も危険度も高く、対策優先度も高い指摘事項(脆弱性)ということになる。
それでは、「5」から「1」までそれぞれの目安を見ていこう。
◆[5]
管理者権限ユーザーやシステム権限での侵入、任意のコマンドの実行を許し、リモートからシステムを掌握される指摘事項を指す。
例えば管理者権限ユーザーのパスワードが推測可能な場合や、管理者権限またはシステム権限で動作しているアプリケーションの脆弱性を利用し、任意のコードの実行などが可能な指摘事項に対しての評価レベルである。
◆[4]
一般権限ユーザー(非管理者権限)での侵入、任意のコマンドの実行を許し、リモートからその権限でシステムを掌握されるものや内部の重要なデータの閲覧や信用失墜につながるような指摘事項を指す。
一般権限ユーザーのパスワードが推測可能であることやWebサーバ(ApacheやIISなど)などのアプリケーションに存在する脆弱性を利用した任意のコードの実行【注2】、SNMPのコミュニティ名が推測可能でシステム情報を取得可能であった指摘事項に対しての評価である。
【注2】
IISの場合はインストール時に作成される「IUSER_コンピュータ名」(Guestに所属)の権限、Apacheの場合はデフォルトでは「apache」や「nobody」といったユーザーで実行されているため、脆弱性を利用して任意のコードを実行した場合は、このような一般ユーザー権限で実行されることになる。
◆[3]
任意のコマンドの実行や、ユーザー情報の漏えい、本来アクセス権のないファイルやディレクトリを操作される可能性などを指す。また、セキュリティ上推奨されないなどの理由から外部に公開すべきではないサービスの公開などもこれに当たる。
具体的には、修正プログラムが未適用、バージョンの古いアプリケーション、telnetなどの公開などがこれに当たる。また、ネットワーク機器などの管理画面に存在するクロスサイトスクリプティングや、メールの不正中継などの実証ができた場合もこの評価が用いられる。
◆[2]
OS、アプリケーションレベルにおいて、ターゲットの選定や、侵入に利用可能な脆弱性を推測するための情報収集を目的とした調査行為が可能であった場合、または、別の脆弱性と組み合わせることによって影響度が高まるような指摘事項に対しての評価である。
具体的には、HTTPサーバなどで、バージョン情報やそのほかのシステム情報を含むバナー情報の確認ができた場合や、SMTPサーバへの接続後、「VRFYコマンド」で存在が確認されてしまったユーザーの調査が可能な場合などでこの評価が用いられる。
◆[1]
直接、侵入やセンシティブデータの窃取などに利用され、直接的な被害へとつながる可能性は低いが、セキュリティレベルを向上させるために推奨される項目に対する評価である。
Copyright © ITmedia, Inc. All Rights Reserved.