サイバーセキュリティ情報の交換を促進する

CYBEXの概要

CYBEXはサイバーセキュリティ情報を各機関の間で交換するための国際標準であり、ITU-T勧告X.1500にて規定されています。ここでは、何故現在、CYBEXが求められているのか、CYBEXが実際、どこにフォーカスしているのか、そして、具体的にCybexがどのような機能を持っているのかについて、説明していきます。

国際標準CYBEXが現在求められている理由

ウィルスなどの悪意のあるソフトウェアによる被害は国境を越えて、瞬時に広がります。インターネットの普及・拡大に従い、これらのサイバーセキュリティーへの脅威が大きな問題として顕在化してきました。当然、これらの問題に対処する機関も各所に存在しますが、各国ごと、また各機関ごとに独立して活動しており、相互に連携を取ることが充分できていません。その結果、例えばA国ではすでにセキュリティ対策が実現できているものがB国ではできていないために、マルウェアに侵されるなどの被害が多発しています。

ここで、本問題を解決するために登場したのが国際標準CYBEXです。CYBEXでは、サイバーセキュリティー情報の表現・格納方法を標準化することにより、国境を越えた、全世界規模でのサイバーセキュリティー情報の共有を実現するのです。

CYBEXがフォーカスする領域

CYBEXが標準化しようとしているのは、サイバーセキュリティ機関の間での情報のやり取りです。サイバーセキュリティ機関がどうやって情報を取得するのか、またどうやってそれを活用するかについては、Cybexの範囲外です。

より具体的には、Cybexは下記4つのクラスタを規定しています。

  1. 情報表現技術
  2. 情報識別・発券・問い合わせ技術
  3. アイデンティティ検証技術
  4. 交換技術

X.1500の中では、このクラスタ自体の定義がされており、それを実現する個別技術については、Appendixに記述されています。そうすることにより、新たな技術が登場した際には、X.1500自体ではなく、Appendixのみを修正すればよいように工夫がなされています。 これら4クラスタ自体、またその実現技術の現状については、上記各項目をクリックしてご覧ください。

CYBEX技術規格内容の解説

CYBEX自体について、下記のとおり各種文献にてより詳しく解説しています。新たに文書を起こすより、これらの文献へのポインタを提供いたしますので、CYBEX自体の概要に関するより詳しい解説は、そちらをご覧ください。但し、X.1500は勧告が凍結される直前まで発展をつづけ、改善が重ねられたため、X.1500が凍結された2011年4月以前に出版された文献については、X.1500と一部内容に差異が存在する点にご注意下さい。

CYBEXの概要 CYBEXにより期待されるセキュリティオペレーションの変化

情報表現技術

本カテゴリでは、Cybexは様々ななサイバーセキュリティ情報を構造化し、その構造を標準化することを目指しています。サイバーセキュリティ情報とはいっても、さまざまな種類のものが存在するため、サイバーセキュリティ情報は脆弱性/状態クラスタ、イベントクラスタ、情報交換条件クラスタの3つに分類されます。上記3つのクラスタそれぞれについて、下記に詳述します。

脆弱性/状態クラスタ

脆弱性クラスタでは、脆弱性/状態に関する情報を構造化すべく、下記の10の標準化文書が検討されています。
CVE: Common Vulnerabilities and Exposures
既知の脆弱性情報をXMLベースで構造化したディレクトリを構築するための規格であり、各脆弱性にCVE識別子を付与し、その識別子ごとに脆弱性情報を登録したディレクトリをXMLベースで作成する。各脆弱性について、以下の4つの情報を格納する。

  • CVE識別番号 (CVE-ID) : 当該脆弱性を一意に識別すべく付与されるユニークな識別子。本識別子は、「CVE-西暦-連番」という形で記述することになっており、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成されるCVE Editorial Boardと呼ぶ機関が、報告のあった脆弱性について評価し、ID付与作業を実施
  • ステータス: 当該脆弱性情報に関する評価の進捗状況。「候補(Candidate)」と「登録(Entry)」の2種類の値のみが存在し、前者は、当該脆弱性情報について未だ評価中であり、承認されていない状況を、後者は割り当てられたCVE識別番号が承認され、報告された内容がユニークかつ信頼できる脆弱性情報であると判断された状況を示す
  • 脆弱性の概要: 当該脆弱性の概要。特に書き方に細かい決まりはないが、他のCVE-IDで特定される脆弱性と十分区別できるレベルの概要を記載
  • 参考URL: 当該脆弱性の関連情報へのリンク一覧。CVE情報源サイトや製品開発ベンダサイトのURLなどが主なリンク先

CVEは元々Mitreの規格ですが、ITU-TではそれをimportしたX.1520を既に制定済です。
尚、X.1520(X.cve)のEditorはRobert. A. Martin(Mitre)です。

参考Web
CVSS : Common Vulnerability Scoring System
CVSSはソフトウェアの脆弱性の深刻さを数値化する手法である。数値化することにより、対処すべき脆弱性の優先順位付けが可能となる。例えば、複数のソフトウェアが存在し、それらがそれぞれセキュリティの問題を抱えている場合に、どのソフトウェアから着手すべきかという優先付けをすることなどが可能となる。
  • 基本評価 (Base metrics) : 脆弱性そのものの特性を評価する基準であり、この評価結果は時間の経過や利用環境の異なりによって変化しない固定値。影響度と攻撃容易性に基づき算出
  • 現状評価 (Temporal metrics) : 脆弱性の現在の深刻度を評価する基準であり、脆弱性への対応状況に応じ時間が経過すると変化する値。攻撃される可能性、利用可能な対策レベル、そして脆弱性情報の信頼性に基づき基本評価を修正
  • 環境評価 (Environmental metrics) : 製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で影響度を修正、その結果として基本評価、現状評価も修正され、その修正値に基づき、最終的な評価を実施。尚、本値は脆弱性に対して想定される脅威に応じて製品利用者毎に変化

元々米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで 2004年10月に原案が作成され、現在はFIRSTがCVSSの管理母体となっており、version 2が最新です。ITU-TではそれをimportしたX.1521をすでに制定済みです。

EditorはGabin Reid(FIRST)です。

参考Web
CWE : Common Weakness Enumeration
CWEはソフトウェアの弱点を表現するための規格であり、各弱点、またそのタイプにIDを付与し、一意に特定可能にする。脆弱性よりは、それを生じる原因に直接対策を講じようという思想から本規格は制定されている。多種多様な弱点の種類を弱点タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化している。上位層に近いほど抽象的な弱点タイプを表し、下位層にいくほど具体的な弱点タイプや個々の弱点そのものを表す。
CVEとCWEは近い関係にあるため、その関連性についても、記載できるようになっている。

CWEは現在Mitreの管理する規格であるが、ITU-TではそれをimportしたX.1524を制定済みです。
EditorはRobert. A. Martin(MITER)です。

参考Web
CWSS : Common Weakness Scoring System
CWSSはソフトウェアの弱点の深刻度をスコアリングする手法を規定する規格である。脆弱性のスコアリングをするCVSS同様、CWSSはソフトウェアの弱点の深刻度をスコアリングし、それにより対処すべきソフトウェアの弱点の優先順位付けを実施する。具体的には、下記3つのメトリックグループ別にスコアを算出し、それらを掛け合わせることで最終評価値とする。

  • 基準評価値(Base Finding Metric Group) : 弱点が仮に悪用された際に生じる潜在的被害、奪取される権限の範囲、その権限行使対象となるレイヤ、そもそもそれが本当に弱点であり攻撃者に悪用されうるかなど、当該弱点固有のリスクを評価し、0から100の間の値で数値化
  • 攻撃可能性評価値(Attack Surface Metric Group) : 攻撃者が実際に当該脆弱性を活用して攻撃をするために、攻撃者が通過しなければならないハードルの度合いを評価し、0から1の値で数値化
  • 環境評価値(Environmental Metric Group) : ビジネスインパクトや弱点を利用した攻撃の可能性、当該弱点を持つソフトウェア外部での制御の可能性など、環境により変化する要因を評価し、0から1の間で数値化

EditorはMitreのRobert. A. Martinです。

参考Web
OVAL : Open Vulnerability and Assessment Language
OVALは機器の設定やステートなどの情報の記述言語であり、これにより、脆弱性の有無を確認する手続きを機械処理可能なXMLベースの文書で記述することが可能となる。このOVALで書かれた脆弱性確認情報文書のことをOVAL定義データと呼び、本データとOVALを正しく理解して処理を実施するOVALインタプリタを用いることにより、脆弱性対策のための確認作業の自動化を促進する。

より具体的には、OVALは システムにインストールされているOSやアプリケーションの情報を収集し、脆弱性を確認するための言語で、同じくMitreが公開しているCVEとも連動しています。XCCDFはプラットフォームに依存しないベンチマークについて定め、それをOVALによって各プラットフォームに応じた脆弱性定義に落とし込んでいく、というイメージである。

これにより、管理が効率化されると同時に、人間により生じるミスも低減する。2002年の発表直後はSQLベースであったが、現在はXMLベースで定義される形式を採用している。

実際には、OVALはMitreが定めたものですが、Cybexにもこれをそのままインポートする形で採用しようとしています。尚、OVALは2002年の発表直後はSQLベースでしたが、現在はXMLベースで定義される形式を採用している。

EditorはMitreのRobert. A. Martinである。

参考Web
CPE : Common Platform Enumeration
CPEはソフトウェアなどのIT資産を一意に特定するための識別子を規定する規格である。ITに関する技術、機器、プラットフォーム、パッケージを構造的に記述し、一意に特定可能にする。新しいぜい弱性が公開されたとき,「どのシステムがぜい弱なのか」「どのシステムが影響を受けるのか」を尋ねるが、ぜい弱性対策でできるだけ自動化,標準化を進めるには,情報システム,プラットフォーム,ソフトウエア・パッケージを照合するための識別情報が必要になる。そこで,これらに一意の名称を付与するCPEが整備されてきた。

version 2.3では複数のスタックに分けられている。各スタックに別々の規格が存在するが、それらすべてを合わせてCPE規格を形成している。これらのうちの最下位のスタックにはIT資産の命名法が規定されているが、ここでは人間が理解しやすい形式とコンピュータが処理しやすいURI形式の両方で識別子が定義されており、その双方の変換も可能となっている。この識別子は製品種別(ハードウエア/OS/アプリケーション)を含んでおり、そのそれぞれの部位は主にベンダ名と製品名の連結から生成される。また、最上位のスタックには、CPEの識別子を集めた辞書を記述する手法が定義されており、これを用いて、各識別子について、詳しい情報を集めた辞書が構築されている。

CPEは,SCAPの識別子仕様の一環としてMitre、NISTで検討が進められており,2007年1月30日にCPE 1.0が,2007年9月14日にはCPE 2.0がリリースされた。
ITU-TではそれをimportしたX.1528、1528.1-4を制定済みです。

参考Web
CCE : Common Configuration Enumeration
CCEは,コンピュータの「設定上のセキュリティ問題」を解決するための仕様であり、セキュリティと関連する設定項目に一意の番号(CCE-ID)を付与する。
CCEはセキュリティと関連する設定項目に,実際に問題のない設定が施されているかどうかをチェックするためのものである。各CCE-ID毎に、設定内容の概要、設定の対象となるパラメータ値、レジストリなどの詳細情報と共に外部情報源(NIST,DISA,NSA,マイクロソフト,Center for Internet Securityなどの情報源)へのリファレンスが一緒に保存される。

そして、そのそれぞれのID毎にコンピュータの設定情報を列挙したディレクトリを構築する。 尚、設定情報は単純に番号順に登録されているのではなく,分類項目に分けた一覧表になっている。 本ディレクトリにより、コンピュータの設定にセキュリティ問題を生じる問題がないかをチェック可能となる。一覧表には、

Mitreが中心となって定めた規格であるが、それをそのままCYBEXにインポートしています。

参考Web
XCCDF : eXtensible Configuratiion Checklist Description Format
XCCDFはセキュリティのチェックリストとその関連情報を記述するための言語である。チェックリスト自体は、各組織のポリシや準拠すべき法令などにより異なるが、XCCDFを利用することにより、それらをXMLにて記述することができる。
XCCDFで記述したチェックリストに従い、実際に脆弱性が存在しないかなどをチェックするためには、下記のOVALを利用する。

セキュリティ対策を継続していく上で、システムにパッチがきちんと適用され最新の状態に保たれているかどうか、あるいは設定がポリシーどおりになっているかどうかを確認する作業は欠かせないが、手作業でこうした確認を行うとなると、管理者の負担が大きくなるだけでなく、ミスや見逃しが生じる可能性がある。これを解決するのがXCCDFとOVALである。XCCDFは、OVALより上位のレベルの「ガイダンス」を定義する言語という位置付けで、設定情報などをチェックするだけでなく、企業内での重要度を加味しながら、システムがどの程度基準やガイダンスに準拠しているかを把握可能にする。

XCCDFはNSA/NISTが定めたものである。ITU-Tではなく別の標準化機関にて規格化されることになったが、CYBEXの関連技術として、ここに記載する。

参考Web
ARF : Assessment Results Format
IT資産のセキュリティレベルの評価結果の記述を構造化することを目指しています。元々はCRF(Common Result Format)という名前でしたが、この略語が他の機関の略語とバッティングする可能性から、2010年1月のInterim Meetingにて、ARFへと名称変更されました。
Mitreが現在制定作業中のCRFをそのままインポートする方向で、進んでいる。

尚、似て非なるものに、Asset Reporting Format=ARFが存在するが、こちらは、組織内、そして組織間のIT資産に関する情報を記述する。組織内外にて分散しているIT資産に関する情報を効率的に収集し、把握することを可能とする。これを実現すべく、ARFには4つのモジュールが存在する。assetモジュールはIT資産の情報を記述手法を定義し、report-requestモジュールは問い合わせ内容を記述し、reportモジュールは問い合わせ結果を記述し、relationshipモジュールはそれら3つのモジュールを関連付ける。尚、ARF自身は細かい記述手法を規定せず、上述のOVALやXCCDF、その他OCILやAIなどの各種規格と組み合わせて利用される。

2つのARFの件は、今後の議論の行く末を見て、上記も書き換えていく。

参考Web

イベントクラスタ

イベントクラスタでは、下記の6の標準化文書が検討されています。

CEE: Common Event Expression
CEEはコンピュータイベントの記録、ログ、交換方法を規定しており、これにより組織内でのログ管理、インシデント対策業務、監査の効率化を実現する。CEEは複数のモジュールから構築されており、その中には、コンピュータイベントの分類とその辞書を定義するもの、ログすべき推奨イベントガイドライン、ログの構造化記述手法、当該ログの交換方法が定められている。

Mitreの規格をCybexにそのままインポートしている。

参考Web
IODEF : Incident Object Description Exchange Format
IODEFはCERT/CSIRT間で、セキュリティインシデント情報を交換するためのXMLフォーマットを定義したIETF規格である。インシデントID、コンタクト情報、攻撃・侵入手法情報、その攻撃の影響に関する情報など、多岐にわたる情報が記載できる構造になっている。現在、本IODEFの有効性が再認識され、より詳細なタグを定義する拡張技術や、これらの情報をセキュアに転送する連携技術などが提案されている。ITU-Tでは本規格をimportしたX.1541を制定済みです。

参考Web
IODEF :Extensions to IODEF for reporting Phishing
上記IODEFを拡張子、Phishingに関するレポートを扱えるようにしたものです。IETFにてRFC化されています。

参考Web
CAPEC : Common Attack Pattern Enumeration and Classification
CAPECは攻撃パターン情報の識別子の記述方法を規定し、攻撃パターンを特定、記述、列挙するための表現をXML/XSDベースで規定したものである。これにより攻撃パターンのカタログをわかりやすい構文と分類に沿って、広く公開できるようにすることを目的としている。具体的には、各攻撃パターンごとに、その攻撃の識別情報、内容説明、対処情報、影響の甚大度、コンタクト情報などの事務的情報が記載されている


参考Web
MAEC : Malware Attribution Enumeration and Characterization
MAECはマルウェアの表現方法を規定した規格である。マルウェアに関する攻撃パターンなどの属性に基づいてマルウェアの情報を情報を忠実にエンコードし、通信するための標準化された言語である。マルウェア関連のオペレーション、コミュニケーションを効率化することが可能となる。MAECで表現できるものは多岐にわたり、例えば、Conflickerにてサービスが中断する挙動なども記載可能である。

MAECは現在、Mitreにて制定がすすめられており、Cybexには、それをインポートする形で採用しようとしています。

EditorはRobert Martin(Mitre)です。

参考Web

情報識別・発見・問い合わせ技術

本カテゴリでは、Cybexはサイバーセキュリティー情報及びサイバーセキュリティ機関を特定し、また、発見する方法の標準化を目指しています。そのために下記4つの標準化文書が検討されています。

X.1570 : Discovery mechanism in the exchange of cybersecurity information
サイバーセキュリティ情報を特定・発見するための手法について、その概念及び必要な技術手順を述べています。その中で、RDFを用いる手法とOIDを用いる手法をそれぞれ規定しています。尚、本提案はNICTが提案し、X.1570として確立しました。
 尚、NICTでは現在、X.1570に基づくサイバーセキュリティ情報の検索エンジンをテスト実装しています。本実装により、インターネット上に散在している各種サイバーセキュリティ情報のリポジトリを有機的に結合し、一括して情報検索ができるようになります。現在、既にテスト実装を終了しており、近日中にその詳細を公開する予定です。一部、画面のスナップショットやソースコードについては、先行して本サイトにて既に公開してあります。
X.1500.1 : Guidelines for Administering the OID arc for cybersecurity information exchange
グローバルなサイバーセキュリティ識別子の名前空間と、OID arcやそのほかのサイバーセキュリティ関連の識別子の管理上の必要条件についても述べています。

アイデンティティ検証

本クラスタは、サイバーセキュリティ情報の信頼性を担保する手法を提供します。CYBEXに欠かせない技術群ですが、現時点では、CYBEXコミュニティでは本分野の発展は限定的です。本クラスタでは以下の3つの文書が検討されています。

X.eaa : Entity authentication assurance
各エンティティの同一性(アイデンティティ)を維持するための認証ライフサイクルのフレームワークを規定しています。
X.evcert : Extended Validation Certificate Framework
ある特定期間の拡張認証証明書(Extended Validation Certificates, EVC)を発行し、維持するのに最低限必要な技術、プロトコル、証明、ライフサイクルマネジメント、監査のコンビネーションを規定しています。
TS102042 V2.0
証明書発行機関が公開鍵証明書やEVCを発行するのに必要なポリシーを規定しています。ETSIの標準です。

情報交換技術

本クラスタは、サイバーセキュリティ情報を交換する手法を提供します。CYBEXに欠かせない技術群ですが、現時点では、CYBEXコミュニティでは本分野の発展は限定的です。情報交換クラスタでは以下の3つの文書が検討されています。

X.1580 :Real-time internetwork defense (RID)
インシデント情報の交換プロトコルで、IODEFのwrapperである。これによりエンティティ間にてメッセージのセキュアな交換を実現する。IETFにおいてRFC化されており、それをITU-TにてX.1580としてimportしたものである。
X.1581 Transport of rReal-time internetwork defense (RID) messages
HTTPSを利用してRIDを利用する場合の詳細を規定したものです。IETFにてRFC化されており、それをITU-TにてX.1581としてimportしたものです。
X.cybex-beep : Blocks eXtensible eXchange Protocol Framework for CYBEX
コネクションベースの非対称通信を実現するプロトコルBEEPを用い、各機関の間で構造化されたサイバーセキュリティ情報を交換するためのプロファイルを定義しています。BEEP自体はIETFにてRFC3080として定義されています。