SRI とは


SRI(SofTek Risk Impact)について

SRI とは、SIDfm™ RA においてホストのリスクを分析・評価するために使用される指標で、ホストへの脆弱性の影響を決定するための環境評価現状評価を行うフレームワークとして機能します。SofTek Risk Impact の略称で、弊社が脆弱性情報を長年提供してきて培ったノウハウが込められています。

サーバの設置場所等の環境を考慮して「ホストカテゴリ」という概念を導入し、脆弱性の環境評価基準のプリセットを提供しました。予め、「ホスト」にホストカテゴリを設定することにより、当該ホストの個々の脆弱性が SRI レベルで表示されます。SIDfm™ RA では、SRI 指標による脆弱性の度合いの標準化を図り、リスク分析・評価における手間を省くように設計されています。これによってリスク評価と改善への優先付けが自動的に行われます。

なぜ、SRI が必要なのか?

ホストにおけるリスクを分析・評価するにあたり、重要なパラメータの一つが影響範囲(環境評価と現状評価)です。特定のホストへの脆弱性の影響を判断するとき、多くの場合、現場の運用担当者によって暗黙的に決定されています。また、旧来からよく知られている CVSS (Common Vulnerability Scoring System) の仕組みでは、2014年4月に発覚した OpenSSL の脆弱性(いわゆる Heartbleed)のような脆弱性の影響を判定した場合に 実体に即したリスクとして正しく表現できていない、という問題がありました。

これは、CVSS の「基本評価基準」(攻撃元区分:AV、攻撃条件の複雑さ:AC、攻撃前の認証要否:Au、機密性への影響:C、完全性への影響:I、可用性への影響:A)が脆弱性そのものだけを雛形通りに客観的に評価していることに起因しています。実際に Heartbleed 問題への評価は仕組み上は正しく妥当であるのですが、「部分的に情報漏洩が発生する」ものが SSL そのものの根幹をなす「秘密鍵」であるということは CVSS の仕組みには反映されておらず、SSL の仕組み自体が破綻する脆弱性であるにも関わらず、CVSS スコアが低く算出されてしまいます。

こうした問題について、米国 CERT/CC Blog(2018年12月5日付記事)でも「CVSS を脆弱性対応の優先順位付けとリスクアセスメントに利用するのは誤用」であると指摘しており、影響範囲を正しく評価するためには CVSS では製品ベンダーなどが提供する「基本評価基準」以外の基準である「現状評価基準」や「環境評価基準」に対する評価をシステム管理者が各自行う必要があります。 ただし、これらの評価は多大な労力を伴うため、現実的には実施することが非常に困難です。


脆弱性の優先順位付けとして CVSS を使用する際の問題 (関連記事)

SRI は、ホストの環境や、脆弱性の現状、製品の特性などによる影響を加味し、統一的に定義する仕組みとして生まれた指標です。 SIDfm™ RA はホスト登録時に、環境評価に値する「ホストカテゴリ」を選択することで自動的にそのホストにおける脆弱性の範囲と影響程度を計算しリスクの評価結果として出力します。

ホストカテゴリの定義

SIDfm™ RA における、環境評価基準のプリセットであるホストカテゴリは以下のように定義されています。 以下いずれかをホスト登録時に選択することで、自動的にその影響を鑑みてリスクの評価結果を返します。

公開サーバ

信頼できない人間がアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。 基本的にファイアウォールの外側や DMZ, クラウドにあるサーバシステムを意味します。
(具体例:公開 Web サーバ、公開 DNS サーバ、公開 SMTP サーバ)

内部サーバ

信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。 基本的にファイアウォールで保護された内側にあるサーバシステムを意味します。
(具体例:内部 Web サーバ、内部 DNS サーバ、内部 SMTP サーバ)

共用サーバ

信頼できない人間がアクセス可能なネットワークに配置された、信頼できない人間がログインできるシステム。 レンタルサーバのサービスを提供するシステムや、不特定なユーザにアカウントを発行する Web サービスを提供するシステムを意味します。
(具体例:レンタルサーバ、無料のアカウントを発行するサービスを提供するサーバ、共用端末)

モバイル

信頼できない人間がアクセス可能なネットワークに配置された、他システムへサービスを提供しないクライアントシステム。 Web の閲覧やドキュメントの作成などに使用し、公開無線 LAN などに接続するノートパソコンやタブレットを意味します。

クライアント

信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、クライアントシステム。 Web の閲覧やドキュメントの作成などに使用し、外部への持ち出しを行わないノートパソコンやタブレットを意味します。

仮想化ホスト

信頼できない人間がアクセス可能なネットワークに配置された、仮想サーバを提供する仮想サーバのホストシステム。 基本的に仮想サーバのハイパーバイザシステムの動作するシステムを意味します。仮想サーバの操作を行う Web インタフェースなどは評価の対象となりません。

公開NW機器

信頼できない人間がアクセス可能なネットワークに配置された、ルータ・スイッチ・ファイアウォールなどのネットワーク機器。
(具体例:ファイアウォール、エッジルータ、エッジスイッチ)

内部NW機器

信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、ルータ・スイッチなどのネットワーク機器。
(具体例:コアルータ、コアスイッチ)

SRI レベルの定義

ホストカテゴリによって環境評価が決まると、脆弱性が発見された時点で関連するホストの SRI レベルが判定されます。 SRI レベルは、ホストカテゴリによる環境評価と脆弱性情報の現状評価を組み合わせ、以下の基準によって決定します。

SRI レベル 評価基準
重大

SRI レベルが 高 もしくは 中 であり、かつ、以下を満たす場合

  • フレームワークやライブラリ等においてデフォルトの設定状態で影響を受ける場合
  • 攻撃コードが既に確認されている場合
  • 攻撃者にシステムを不正に操作される場合
  • 容易にサービス妨害を起こす場合
  • 容易に機密情報の漏洩を起こす場合
  • サービス妨害を引き起こす場合
  • 情報漏洩を引き起こす場合
  • 情報収集時点で詳細が不明な場合
  • 直接的な被害を受ける可能性が低い場合
  • その他、特別な理由による場合

※詳細が不明なものに限り、情報源が設定したレベルが存在する場合はそれを踏襲する。
※対象プロダクトによっては、例外的な評価を行う場合がある。(例:Wireshark)

ホストカテゴリと SRI の関係性

ホストカテゴリと SRI には相互に関係性があります。多くの場合その関連性はパターン化されていますが、個々の脆弱性により特別ケースとして基準に該当しない場合もあります。 その場合には SIDfm™ RA では、補足情報として理由を示すコメントが表示されます。

よくある脆弱性として発生するケースを例に、ホストカテゴリとの関係性を以下に記載します。

SRI レベル ホストカテゴリ名 評価基準
重大
公開サーバ
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
内部サーバ
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
モバイル
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
クライアント
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
共用サーバ
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)もしくは以下の場合
  • ローカルからの平文パスワードの漏洩
仮想化ホスト
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
公開NW機器
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
内部NW機器
個々の脆弱性により重大と判断したもの(高・中レベルからの引き上げ)
公開サーバ
  • ライブラリ API による意図していないコード実行
  • リモートからの任意のコード実行
  • 認証無しの SQL インジェクション
  • リレーなどネットワーク境界に依存しない任意のコード実行
内部サーバ
  • リレーなどネットワーク境界に依存しない任意のコード実行
モバイル
  • ライブラリ API による意図していないコード実行
  • ユーザの操作による意図していない任意のコード実行
クライアント
  • ライブラリ API による意図していないコード実行
  • ユーザの操作による意図していない任意のコード実行
共用サーバ
  • ライブラリ API による意図していないコード実行
  • リモートからの任意のコード実行
  • ローカルからの特権奪取
  • 認証無しの SQL インジェクション
  • リレーなどネットワーク境界に依存しない任意のコード実行
仮想化ホスト
  • 仮想化ゲストから仮想化ホスト上での任意のコード実行
公開NW機器

個々のアプライアンス製品、ネットワーク製品に依存する

内部NW機器
個々のアプライアンス製品、ネットワーク製品に依存する
公開サーバ
  • ライブラリ API によるサービス妨害
  • ユーザの操作による意図していない任意のコード実行
  • ローカルからの平文パスワードの漏洩
  • リモートからのサービス妨害
  • 反射型クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
内部サーバ
  • ライブラリ API による意図していないコード実行
  • リモートからの任意のコード実行
  • ユーザの操作による意図していない任意のコード実行
  • 認証無しの SQL インジェクション
  • ローカルからの平文パスワードの漏洩
  • 反射型クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
モバイル
  • ライブラリ API によるサービス妨害
  • ローカルからの平文パスワードの漏洩
  • リレーなどネットワーク境界に依存しない任意のコード実行
クライアント
  • ライブラリ API によるサービス妨害
  • ローカルからの平文パスワードの漏洩
  • リレーなどネットワーク境界に依存しない任意のコード実行
共用サーバ
  • ライブラリ API によるサービス妨害
  • ユーザの操作による意図していない任意のコード実行
  • リモートからのサービス妨害
  • ローカルからのサービス妨害
  • 反射型クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • ローカルからのカーネルメモリ読み取り
仮想化ホスト
  • ライブラリ API による意図していないコード実行
  • ユーザの操作による意図していない任意のコード実行
  • ローカルからの平文パスワードの漏洩
  • 仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
  • リレーなどネットワーク境界に依存しない任意のコード実行
公開NW機器
個々のアプライアンス製品、ネットワーク製品に依存する
内部NW機器
個々のアプライアンス製品、ネットワーク製品に依存する
公開サーバ
  • ローカルからの特権奪取
  • 仮想化ゲストから仮想化ホスト上での任意のコード実行
  • ローカルからのサービス妨害
  • ローカルからのカーネルメモリ読み取り
  • 仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
内部サーバ
  • ライブラリ API によるサービス妨害
  • ローカルからの特権奪取
  • 仮想化ゲストから仮想化ホスト上での任意のコード実行
  • リモートからのサービス妨害
  • ローカルからのサービス妨害
  • ローカルからのカーネルメモリ読み取り
  • 仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
モバイル
  • リモートからの任意のコード実行
  • ローカルからの特権奪取
  • 仮想化ゲストから仮想化ホスト上での任意のコード実行
  • 認証無しの SQL インジェクション
  • リモートからのサービス妨害
  • ローカルからのサービス妨害
  • 反射型クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • ローカルからのカーネルメモリ読み取り
  • 仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
クライアント
  • リモートからの任意のコード実行
  • ローカルからの特権奪取
  • 仮想化ゲストから仮想化ホスト上での任意のコード実行
  • 認証無しの SQL インジェクション
  • リモートからのサービス妨害
  • ローカルからのサービス妨害
  • 反射型クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • ローカルからのカーネルメモリ読み取り
  • 仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
共用サーバ
  • 仮想化ゲストから仮想化ホスト上での任意のコード実行
  • 仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
仮想化ホスト
  • ライブラリ API によるサービス妨害
  • リモートからの任意のコード実行
  • ローカルからの特権奪取
  • 認証無しの SQL インジェクション
  • リモートからのサービス妨害
  • ローカルからのサービス妨害
  • 反射型クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • ローカルからのカーネルメモリ読み取り
公開NW機器
個々のアプライアンス製品、ネットワーク製品に依存する
内部NW機器
個々のアプライアンス製品、ネットワーク製品に依存する