CVEの優先度付けでオープンソースのセキュリティを確保
by Canonical on 26 October 2023
最近の調査によれば、企業向けアプリケーションの96%がオープンソースソフトウェアを使用しています。オープンソース環境は断片化が進み、組織における潜在的なセキュリティの脆弱性の影響を評価することは極めて困難です。Ubuntuは非常に安全なオペレーティングシステムとして知られていますが、なぜでしょうか? Ubuntuはセキュリティにおけるリーダーです。なぜなら、毎日Ubuntuセキュリティチームが既知の脆弱性に対して修正を行い、アップデートしたソフトウェアパッケージをリリースしているからです。セキュリティチームは平均して1日に3つ以上のアップデートを提供します。また、重要なアップデートは24時間以内に準備、テスト、リリースを行います。このためCanonicalは、ソフトウェアの脆弱性を審査して優先度を付け、最も重要なものを最初に修正するプロセスを確立しました。ソフトウェアの脆弱性は共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)システムの要素として追跡され、(Ubuntuセキュリティ通知 [USN] を通じて)Ubuntuセキュリティチームによって公開されたセキュリティアップデートの大部分は公開された特定のCVEに対応しています。
信頼性の高いトリアージ(緊急度判定)プロセス
Ubuntuセキュリティチームは独自のCVEデータベースを管理して、Ubuntuのアーカイブ内のソフトウェアパッケージに対するさまざまなCVEを追跡しています。このプロセスの一環として、セキュリティチームは毎日、MITREやNIST NVDなどのさまざまな情報源から公開された最新の脆弱性に対して、トリアージ(緊急度の判定)を行っています。このトリアージプロセスでは、新たに発表された各CVEの評価、(該当する場合)Ubuntuのどのソフトウェアパッケージに影響があるかの判断、(アップストリームパッチなど)パッケージにパッチを適用するための必要な情報の収集、脆弱性に対して考えられるリスク軽減策の通知を行います。該当するソフトウェアパッケージに対してCVEの緊急度が判定されると、CVEに、negligible(影響が少ない)、low(低い)、medium(中間)、high(高い)、critical(危険)の範囲から優先度が割り当てられます。Ubuntuセキュリティチームはこの優先度に応じて、最初にどの脆弱性に対応すべきかを判断します。
セキュリティと安定性
ソフトウェアに変更を加えると、機能の不具合を誘発するリスクが常に発生します。Canonicalは変更のテストと検証を行うように努めていますが、すべてのユーザーのすべての事例をカバーすることは不可能であり、機能に影響が出るリスクをなくすことはできません。したがって、セキュリティ問題の修正によって得られる価値と、発生する不具合のリスクを常に比較して考える必要があります。このようなバランスは極めて微妙なため、明確なルールを定めることは困難です。ただし、優先度がlow(低い)やmedium(中間)である脆弱性については、修正によって発生する不具合のリスクを慎重に考慮する必要があります。コードの使用年数、バックポートのコード構造の違い、影響を受ける機能の範囲、パッケージのユーザー基盤などの要因をすべて考慮します。こうしてCanonicalはすべてのUbuntuユーザーに可能な限り安全で安定したプラットフォームを提供することを目指しています。
CVEの詳細な検討
CVEの深刻度を評価するための一般的な方法は、共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)です。このシステムは、特定の脆弱性の深刻度を示す数値を提供し、他の脆弱性との比較ができるようにするために設計されています。CVEのCVSSスコアは、複数の入力情報を使用して計算されます。このスコアによって脆弱性のさまざまな局面についての考察が可能になりますが、特定の脆弱性によってもたらされるリスクを捕捉することはできません。CVSSは脆弱性の技術的な深刻度を評価するために設計されたものですが、多くの場合、むしろ脆弱性の優先度付けやリスク評価の手段として誤用されています。しかし実際には、それぞれの脆弱性についてCVSSでは捕捉されない点を考慮することが重要です。たとえば特定のソフトウェアパッケージがインストールまたは使用されているか、パッケージのデフォルト構成で脆弱性が軽減されるか、脆弱性に対する既知のエクスプロイトが存在しているかなどです。そのため、CVSSだけで脆弱性を比較して優先度を決定するとリスクプロファイルが不完全になるおそれがありまです。
CVE優先度の適切な決定
一方、Ubuntuセキュリティチームによって割り当てられる優先度は、Ubuntuの各ソフトウェアパッケージのさまざまな状況を考慮しています。このため、サーバー、デスクトップ、クラウド、IoTなどあらゆるUbuntuのインスタンスを考慮してセキュリティソフトウェアアップデートの優先度を決める有効な基準として使用できます。最も多くのUbuntuインストール環境に影響がある脆弱性や、最もリスクが大きい脆弱性(ユーザーが入力しなくてもリモートで悪用されるなど)は、優先度がcritical(危険)やhigh(高い)になります。影響が少数のユーザーのみである脆弱性や、ユーザーによる入力が必要な脆弱性、またはサービス拒否のように影響の小さい脆弱性の場合は、優先度がmedium(中間)、low(低い)、またはnegligible(影響が少ない)になります。優先度は脆弱性ごと決定されます。また、特定の脆弱性がUbuntuのアーカイブの複数のパッケージに該当する可能性があるため、パッケージごとの脆弱性にも優先度が指定されます。CVSSスコアと関係なく、最もリスクと影響が大きく、最も多くのUbuntuインストール環境に影響を及ぼす脆弱性を最初に修正することで、既知のソフトウェアの脆弱性による攻撃のリスクを抑えます。 各脆弱性に指定される優先度や、各優先度の指定に使用される基準の詳細は、Ubuntu CVE Trackerをご覧ください。
ニュースレターのサインアップ
関連記事
バックポートでパッケージのサポート終了を回避
2025年7月、Gitは危険度の高い脆弱性「CVE-2025-48384」の報告を受けました。攻撃者がこの脆弱性を悪用すれば、リポジトリのクローンを作成する際に任意のコードを実行できます。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性の実際の悪用事例を確認後、Known Exploited Vulnerabilities(KEV、悪用が確認されている脆弱性)のカタログに追加しました。 この脆弱性の公開時に標準サポート終了を過ぎていたユーザーにとって、選択肢は2つでした。Ubuntu Proのサブスクリプションでセキュリティパッチを入手するか、開発者の作業環境やCI/CDインフラに既知のリモートコード実行(RCE)脆弱性を抱えたまま […]
Canonical、Ubuntu Pro for WSLを発表
Windows環境におけるUbuntu 24.04 LTSのWSLインスタンスにセキュリティメンテナンスとエンタープライズサポートを一括して提供。包括的なシステム管理機能も利用できるサブスクリプションサービス。 Canonicalは本日、Ubuntu Pro for WSLの一般提供を発表しました。Microsoftストアからインストール、ソースコードとベータ版はGitHubからダウンロード可能です。 「CanonicalとMicrosoftは、緊密なパートナーシップを通じてWSLの各種機能を構築しています。この取り組みは、WSLを利用して実運用向けのLinuxソリューションを構築する企業の開発者に有益です。」 Microsoft、WSLプロダクトマネージャー、Craig […]
Canonical、FIPS対応のKubernetesを公開
FIPS 140-3暗号化とDISA-STIGハードニングを備えた、FedRAMP対応のKubernetesクラスターとアプリケーションスイートを導入しましょう。 本日、KubeConにおいて、Ubuntuを提供するCanonicalは同社のKubernetesディストリビューションでFIPSモードを有効化するためのサポートを公開しました。これにより、高いセキュリティの導入や連邦政府向けの導入に適したスケーラブルなクラスターの構築と管理に必要なすべての要素を提供します。バージョン1.34以降、Canonical Kubernetesは認証済みの暗号モジュールを使用した内蔵FIPS 140-3機能とともに使用できます。このFIPS機能を備えた導入により、snapパッケージと […]
