Close

セキュリティ問題の重大度


脆弱性の原因

  • Nexpose および Snyk が提出したセキュリティ スキャナー チケット
  • セキュリティ研究者が Bugcrowd を通じて発見したバグ報奨金の対象となる不具合
  • セキュリティ チームがレビューの一環として報告したセキュリティの脆弱性
  • アトラシアン社員によって報告されたセキュリティの脆弱性

重大度のフレームワークと評価

アトラシアンでは、発見された脆弱性ごとにセキュリティ リスクと優先順位を評価する方法として共通脆弱性評価システム (CVSS) を使用します。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細については、FIRST.org をご参照ください。

重大度

アトラシアンではセキュリティ アドバイザリーに重大度を盛り込んでいます。この重大度は、それぞれの特定の脆弱性について社内で計算される CVSS スコアに基づいて決定されます。

  • クリティカル

CVSS v3 については、アトラシアンでは次の重大度システムを採用しています。

CVSS V3 スコア範囲
アドバイザリーにおける重大度

9.0 - 10.0

クリティカル

7.0 - 8.9

4.0 - 6.9

0.1 - 3.9

場合によっては、アトラシアンは CVSS スコアに関係のない追加の要素を使用して、脆弱性の重大度を判断することがあります。このアプローチは CVSS v3.1 仕様でサポートされています。

プロからのヒント:

お客様は、CVSS 情報を組織の脆弱性管理プロセスへの入力として使用できます。このプロセスでは、CVSS に含まれない要素も考慮して、テクノロジー インフラストラクチャに対する脅威をランク付けし、情報に基づいた修復決定を下すことができます。そのような要素には、製品ラインの顧客数、侵害による金銭的損失、生命または財産の脅威、広く公表されている脆弱性に対する世論などがあります。これらは CVSS の範囲に含まれません。

アトラシアンがこのアプローチを採用する場合、脆弱性を公表する際に考慮された追加要素と、脆弱性を公開する理由について説明します。

以下では、それぞれに掲げる重大度にスコア付けされる可能性のある脆弱性をいくつか例示しています。このスコア付けではユーザーのインストール情報を考慮していません。参考としてのみご使用ください。

重大度: クリティカル

通常、クリティカルにスコア付けされる脆弱性には、次に挙げる特徴の多くが該当します。

  • 脆弱性が悪用される結果、サーバーやインフラストラクチャ機器がルート レベルで侵害される可能性があります。
  • 通常、悪用は至って簡単。攻撃者は特別な認証用資格情報や各被害者に関する知識は不要で、ソーシャル エンジニアリングなどを通じて標的のユーザーが特別な機能を実行するように誘導する必要もありません。

クリティカルな脆弱性については、パッチの適用やアップグレードをできるだけ早急に実行することをお勧めします。ただし、インストールにインターネットからアクセス不能な場合など、他の軽減措置がある場合はこの限りではありません。

重大度: 高

通常、高にスコア付けされる脆弱性には次のような特徴があります。

  • 脆弱性の悪用が困難。
  • 悪用の結果、権限が昇格する可能性がある。
  • 悪用の結果、膨大なデータ紛失やダウンタイムが発生する可能性がある。

重大度: 中

通常、中にスコア付けされる脆弱性には次のような特徴があります。

  • 攻撃者がソーシャル エンジニアリング手法を通じて各被害者を操作する必要がある脆弱性。
  • 設定が難しい DoS 攻撃の標的になる脆弱性。
  • 被害者と同じローカル ネットワークに攻撃者が存在する必要がある脆弱性。
  • 脆弱性が悪用されても、ごく限定的なアクセス権しか得られないもの。
  • 悪用を成功させるにはユーザー権限が必要となる脆弱性。

重大度: 低

低度にランク付けされる脆弱性は、組織のビジネスにほとんど影響しません。通常、この脆弱性を悪用するには、ローカルまたは物理的なシステムへのアクセスが必要となります。アトラシアンのコードから到達できないサードパーティ コードの脆弱性は、重大度が低度にダウングレードされる場合があります。

修正のタイムライン

アトラシアンでは、セキュリティの重大度と影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。製品のセキュリティ問題の修正にあたっては、セキュリティ バグ修正ポリシーに従って時間枠を設定しています。

早期解決期間の対象となる製品は次のとおりです。

  • すべてのクラウドベースのアトラシアン製品
  • Jira Align (クラウド版とオンプレミス版の両方)
  • アトラシアンが管理する、またはアトラシアンのインフラストラクチャ上で実行されているその他のソフトウェアまたはシステム

延長解決期間の対象となる製品は次のとおりです。

  • すべてのオンプレミス型アトラシアン製品
    • お客様が管理するシステムに、お客様の手によってインストールされる製品です
    • アトラシアンの Data Center、デスクトップ、モバイル アプリケーションが含まれます

CVSS の解決期間

重大度
早期解決期間
延長解決期間

クリティカル

確認されてから 10 日以内 確認されてから 90 日以内

確認されてから 4 週間以内 確認されてから 90 日以内

確認されてから 12 週間以内 確認されてから 90 日以内

確認されてから 25 週間以内 確認されてから 180 日以内