CVEの優先度付けでオープンソースのセキュリティを確保
by Canonical on 26 October 2023
最近の調査によれば、企業向けアプリケーションの96%がオープンソースソフトウェアを使用しています。オープンソース環境は断片化が進み、組織における潜在的なセキュリティの脆弱性の影響を評価することは極めて困難です。Ubuntuは非常に安全なオペレーティングシステムとして知られていますが、なぜでしょうか? Ubuntuはセキュリティにおけるリーダーです。なぜなら、毎日Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートしたソフトウェアパッケージをリリースしているからです。セキュリティチームは平均して1日に3つ以上のアップデートを提供します。また、重要なアップデートは24時間以内に準備、テスト、リリースを行います。このためCanonicalは、ソフトウェアの脆弱性を審査して優先度を付け、最も重要なものを最初に修正するプロセスを確立しました。ソフトウェアの脆弱性は共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)システムの要素として追跡され、(Ubuntuセキュリティ通知 [USN] を通じて)Ubuntuセキュリティチームによって公開されたセキュリティアップデートの大部分は公開された特定のCVEに対応しています。
信頼性の高いトリアージ(緊急度判定)プロセス
Ubuntuセキュリティチームは独自のCVEデータベースを管理して、Ubuntuのアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITREやNIST NVDなどのさまざまな情報源から公開された最新の脆弱性に対して、トリアージ(緊急度の判定)を行っています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、(アップストリームパッチなど)パッケージにパッチを適用するための必要な情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低い)、medium(中間)、high(高い)、critical(危険)の範囲から優先度が割り当てられます。Ubuntuセキュリティチームはこの優先度に応じて、最初にどの脆弱性に対応すべきかを判断します。
セキュリティと安定性
ソフトウェアに変更を加えると、機能の不具合を誘発するリスクが常に発生します。Canonicalは変更のテストと検証を行うように努めていますが、すべてのユーザーのすべての事例をカバーすることは不可能であり、機能に影響が出るリスクをなくすことはできません。したがって、セキュリティ問題の修正によって得られる価値と、発生する不具合のリスクを常に比較して考える必要があります。このようなバランスは極めて微妙なため、明確なルールを定めることは困難です。ただし、優先度がlow(低い)やmedium(中間)である脆弱性については、修正によって発生する不具合のリスクを慎重に考慮する必要があります。コードの使用年数、バックポートのコード構造の違い、影響を受ける機能の範囲、パッケージのユーザー基盤などの要因をすべて考慮します。こうしてCanonicalはすべてのUbuntuユーザーに可能な限り安全で安定したプラットフォームを提供することを目指しています。
CVEの詳細な検討
CVEの深刻度を評価するための一般的な方法は、共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)です。このシステムは、特定の脆弱性の深刻度を示す数値を提供し、他の脆弱性との比較ができるようにするために設計されています。CVEのCVSSスコアは、複数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな局面についての考察が可能になりますが、特定の脆弱性によってもたらされるリスクを捕捉することはできません。CVSSは脆弱性の技術的な深刻度を評価するために設計されたものですが、多くの場合、むしろ脆弱性の優先度付けやリスク評価の手段として誤用されています。しかし実際には、それぞれの脆弱性についてCVSSでは捕捉されない点を考慮することが重要です。たとえば特定のソフトウェアパッケージがインストールまたは使用されているか、パッケージのデフォルト構成で脆弱性が軽減されるか、脆弱性に対する既知のエクスプロイトが存在しているかなどです。そのため、CVSSだけで脆弱性を比較して優先度を決定するとリスクプロファイルが不完全になるおそれがありまです。
CVE優先度の適切な決定
一方、Ubuntuセキュリティチームによって割り当てられる優先度は、Ubuntuの各ソフトウェアパッケージのさまざまな状況を考慮しています。このため、サーバー、デスクトップ、クラウド、IoTなどあらゆるUbuntuのインスタンスを考慮してセキュリティソフトウェアアップデートの優先度を決める有効な基準として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーが入力しなくてもリモートで悪用されるなど)は、優先度がcritical(危険)やhigh(高い)になります。影響が少数のユーザーのみである脆弱性や、ユーザーによる入力が必要な脆弱性、またはサービス拒否のように影響の小さい脆弱性の場合は、優先度がmedium(中間)、low(低い)、またはnegligible(影響が少ない)になります。優先度は脆弱性ごと決定されます。また、特定の脆弱性がUbuntuのアーカイブの複数のパッケージに該当する可能性があるため、パッケージごとの脆弱性にも優先度が指定されます。CVSSスコアと関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす脆弱性を最初に修正することで、既知のソフトウェアの脆弱性による攻撃のリスクを抑えます。 各脆弱性に指定される優先度や、各優先度の指定に使用される基準の詳細は、Ubuntu CVE Trackerをご覧ください。
ニュースレターのサインアップ
関連記事
JammyからResoluteまで:Ubuntuのツールチェーンの進化
新しいツールチェーンのバージョン、devpack、開発体験を改善するワークフローをご紹介します。 Ubuntuのツールチェーンの進化は、単にGCC、LLVM、Pythonを提供することではありません。明確な目的を持つOpenJDKのバリアント、タスクに特化したdevpack、FIPS適合のツールチェーン、そしてsnap(新しい.NET snapやSnapcraftプラグインなど)の開発も含みます。このような改善により、これまで半日かかっていたセットアップが1〜2個のコマンドで済みます。これは、Ubuntu上でフレームワークやアプリケーションを開発する者にとって、まさに「摩擦のない」開発体験です。 このブログでは、Ubuntuの過去4年間のLTSリリースにおける変更点と今後 […]
Ubuntu ProをNutanixのベアメタルKubernetesで提供
NutanixとCanonicalのパートナーシップ拡大によりコンテナ化されたワークロードの選択肢が増加 Enterprise Kubernetes®は、柔軟性の高いマルチアーキテクチャモデルへと進化しつつあります。AI/MLやデータ集約型のワークロードが膨大なハードウェアスループットを必要とする近年、組織はクラウドプラットフォームの安定性を維持しながら、ベアメタルのパフォーマンスを求めています。 このためNutanixとCanonicalは、このたび発表されたNKP Metalソリューションも含め、ベアメタルで実行するNKP(Nutanix Kubernetes Platform)インスタンスでもUbuntu Proを利用可能にしました。もともと2025年に発表されたパ […]
Ubuntu 26.04 LTSのセキュリティ最新情報
Ubuntu 26.04 LTSは、Canonicalにとって最もセキュリティを重視したLTSリリースです。単に機能を追加しただけでなく、システムのあらゆる層で同時にセキュリティの基準を引き上げ、全体的に強化しました。しかも既存の環境を壊したり、手動での介入が増えたりすることはありません。セキュリティの心臓部、つまりデフォルト設定に注力することで、CanonicalはUbuntuのセキュリティを新しい形で強化しました。この記事では、Ubuntu 26.04 LTSの新しいセキュリティ機能について概説します。 Ubuntu 26.04 LTS は、デスクトップ、サーバー、コンフィデンシャルVM、クラウドイメージ、エッジシステムでLinuxを運用する上で、今後10年間にわたっ […]
