PCI、CVSS、およびリスク評価に関するよくある質問

本ページでは、脆弱性に関するPCIコンプライアンスおよびスコアについて説明します。

Nexposeのリスク評価モデルについて教えてください。違いは何ですか？

Nexposeは、スキャン中に発見された各アセットおよび脆弱性のリスク・スコアを計算します。本スコアは、エクスプロイトの影響および可能性に基づき脆弱性がネットワークおよびビジネスセキュリティにもたらし得る潜在的な危険を示すものです。

Nexposeでは2つのリスク評価モデルを利用可能です：

• 時間的モデル
• 加重的モデル

時間的モデル

本モデルは、脆弱性の存在が知られるようになった期間の長さおよびリスクの性質を重視します。古い脆弱性はエクスプロイトされやすくなります。なぜなら、攻撃者は長い間それらについて把握しているからです。時間的リスクモデルは、以下の要因の数学的計算です：

• 時間ベースの可能性（t）は、脆弱性が公的に公開されてからの日数です。この日数により全体的スコアが上昇します。
• 近接ベースの影響度は、4つの変数の合計です：
  1. アクセスベクトル（AV）またはターゲットがローカルにアクセス可能かどうか、ネットワーク内からアクセス可能なかどうか、ネットワークの外側からアクセスしなければならないかどうかに基づくエクスプロイトの可能性。ローカルにアクセスできると高スコアになる。
  2. 機密性への影響（C）または認可されていない個人/システムへの開示
  3. 整合性への影響（I）または認可されていないデータ修正
  4. 可用性への影響（A）またはデータへのアクセス喪失

• エクスプロイト難易度は2つの変数の合計です：
  1. アクセスの複雑さ（AC）またはエクスプロイト実行に必要とされるスキルに基づくエクスプロイトの可能性。エクスプロイトがより容易である場合に高スコアとなる。
  2. 認証（Au）または認証要件に基づくエクスプロイトの可能性。認証なしの場合に高スコアとなる。

スコアは最大6桁の整数で表されます。「最大」の数字はありません。これらの数字は互いに関連しています。

この評価モデルは、脆弱性に関連するリスクを経時的に追跡する、最も効果的な手段です。また、新規配備に理想的なオプションです。なぜなら、時間および深刻度を重視しているため、改善プロジェクトのより良い優先順位付けに役立つからです。

以下の式は時間的評価モデルの計算に使用されます：

この式は以下のコンポーネントへと分解されます：

加重的モデル

加重的モデルは主にアセットデータと脆弱性タイプに基づいており、以下の要因を重視します：

• 脆弱性の危険度、範囲は1～10の数値、Nexposeが各脆弱性について計算
• 脆弱性インスタンスの数
• コンピュータ、ルータ、ワイヤレス・アクセス・ポイント（WAP）などの、アセットのタイプ
• アセット上のサービスの数およびタイプ、例えばデータベースはビジネス値が高くなる
• 設定時にサイトへと割り当てた重要度レベル、またはウェイト。サイトを作成・編集する をご参照ください。

加重的リスク・スコアは脆弱性の数によって計算されます。アセット上の脆弱性の数が多いということは、リスク・スコアが高くなることを意味します。スコアは、通常1桁の小数点の付いた数で表されます。

リスク戦略に取り組み脅威を分析するをご参照ください。

リスク・スコアは、脆弱性改善プロジェクトを優先順次付けするための、重要なツールです。もう1つの重要な評価基準は、CVSSスコアです。CVSSスコアとは何ですか？というタイトルのFAQをご参照ください。

PCIスキャンを実行してその後環境の準拠を示すPCIレポートが生成された場合、当社の環境はPCIに準拠しているという意味でしょうか？

貴社がペイメントカード業界（PCI）による認証をもつ、認定済みのスキャンベンダー（ASV）ではない場合、上記の質問への回答はいいえになります。認定されたASVのみがPCI公認のコンプライアンス監査を実行できます。とはいえ、PCIスキャンおよびレポートを実行することは、コンプライアンス監査の準備やセキュリティ・メンテナンス・ルーチンの一環として、優良な慣行であるといえます。

PCI監査の「合格」または「不合格」結果は何に基づいていますか？

ASVは、各脆弱性について計算される共通脆弱性評価システム（CVSS）バージョン2スコアに基づいて監査結果を出しています。スコアの範囲は0～10.0で、4.0以上はPCI基準に準拠していません。

CVSSスコアが4.0以上である脆弱性を1つ以上含むアセットは、非準拠であると見なされます。また1つ以上のアセットが非準拠である場合、組織全体が非準拠であると見なされます。

さらには、アセットがXSSまたはSQLインジェクションに露出する脆弱性があると、CVSSスコアに関わらずPCI規格へのコンプライアンスは不合格となります。

CVSSスコアとは何ですか？

Nexposeは共通脆弱性評価システム・バージョン2（CVSSv2）を含むさまざまな要因に従い、発見された脆弱性をそれぞれランキングします。CVSSスコアは、脆弱性によりネットワークセキュリティにもたらされるリスクの度合いを反映する基本評価基準の計算結果です。基本評価基準には、アクセス（ローカルから遠隔までの範囲）、アクセス複雑性、必須認証資格情報（credentials）、データ機密性への影響、データ整合性への影響、データ有用性への影響が含まれます。

CVSSシステムは、すべての脆弱性を0.0～10.0のスケール（値が大きいほどセキュリティ・リスクが高い）で評価します。4.0以上のランキングはPCI規格への非準拠を示します。

CVSSシステムで0.0～3.9の範囲にある危険度中の脆弱性は、ローカルでのみエクスプロイトされる可能性があり、認証を必要とします。侵入に成功した攻撃者は、制限されていない情報にほとんど/まったくアクセスできず、情報を破壊/破損することができず、またシステムの機能停止を引き起こすこともできません。例としては、デフォルトまたは推測可能なSNMPコミュニティ名、およびOpenSSL PRNG内部状態発見脆弱性などがあります。

CVSSシステムで4.0～6.9の範囲にある危険度大の脆弱性は、中度のハッキング経験によりエクスプロイトされる可能性があり、認証を必要とする場合と必要としない場合があります。侵入に成功した攻撃者は、制限されていない情報へと一部アクセスでき、情報の一部を破壊可能であり、ネットワーク上の個々のターゲットシステムを無効にできます。例としては、書き込み可能な匿名FTPおよび許可された弱いLANマネージャー・ハッシュなどがあります。

CVSSシステムで7.0～10.0の範囲にある危険度重大の脆弱性は、容易なアクセスでエクスプロイトされる可能性があり、認証はほとんど/まったく必要とされません。侵入に成功した攻撃者は、部外秘情報へとアクセスでき、情報を破壊・削除可能であり、システムの機能停止を引き起こすことができます。例としては、匿名ユーザーがWindowsパスワードポリシーを取得できる能力などがあります。

CVSS評価がPCI監査結果のフレームワークであるにも関わらず、なぜ「PCI」スコアがレポートに表示されるのですか？

Nexposeには、脆弱性を評価・優先順位付けする追加の方法として、レガシーPCI評価システムが含まれています。本システムは1から5までの深刻度スケールで脆弱性をランク付けします。2を超えてランキングされた脆弱性は、PCI基準に準拠していません。

• レベル5の脆弱性には、遠隔ルートまたは遠隔管理者機能による攻撃が可能であり、それによりホスト全体の情報漏洩に繋がる可能性があります。
• レベル4の脆弱性には、遠隔ユーザー機能および部分的なファイルシステムアクセスによる攻撃が可能です。
• レベル3の脆弱性には、セキュリティ設定といった特定の保存情報へのアクセスが可能です。
• レベル2の脆弱性では、サービスの正確なバージョンなど、慎重に扱うべきホスト情報の一部がさらされています。
• レベル1の脆弱性では、オープンポートなどの情報がさらされています。