脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
第3段階がトリアージで、例えば使っている機器などに脆弱性が見つかった場合、直ちに対処すべきか、しばらく対策しなくても問題がないかを分析し評価します。そして第4段階で、パッチを当てたりシステムを停止したりなどの対策をとります。
――トリアージがうまく機能せずに、インシデントに発展するのはどのようなケースですか。
攻撃コードが公開されているなど悪用されやすい脆弱性は存在しますが、実際に攻撃が来るかの予測は極めて難しいです。状況を正しく把握できず、対処は後からでいいと間違った判断をしてしまうこともあります。
また、脆弱性情報がSI企業には届いていても、ユーザー企業に届いていないケースもあるでしょう。運用を外部に委託している場合、対応の責任分界点が明確になっておらず対策が漏れることもあります。
脆弱性情報が出たら、その日のうちに攻撃が来ることもあります。迅速に動ける体制があるかどうかで、インシデントに発展するかしないかの差が生じるのです。最近では、脆弱性に対処した時点ですでに侵害されている事例も増えています。パッチを当てて終わりではなく、ログを詳細に調べるなど現時点で侵害されていないか確認する能力も必要です。
トリアージに用いる「指標」には課題もある
――実際にどのようにトリアージを進めればよいのでしょうか。
ベンダーなどが公開する脆弱性情報を入手したら、それを評価するための指標が必要です。最も使われているのは国際的な指標のCVSS(Common Vulnerability Scoring System)で、10点満点で深刻度の高さが表されます。
多くの組織は、10点や9点と高いスコアであれば直ちに対処するというルールを作っているでしょう。しかし、深刻度合いが高いからといってすぐに攻撃が来るのか、逆にそれほど深刻ではないから放置してもいいのかはスコアだけではわかりません。深刻度と攻撃には多少の相関はありますが、必ずしもリンクしないのです。
そもそもCVSSでスコアが高いとされる脆弱性は多数あり、すべてに対処するのは組織のリソース的にもかなり厳しいでしょう。深刻度合いが一目瞭然なのはいいのですが、こうした点は世界的にもずっと課題と言われています。
――何か打ち手はないのでしょうか。
打開策の1つが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が提供するKEVカタログ(Known Exploited Vulnerabilities Catalog)です。
この記事に関連するニュース
-
KELとBBSecが海外向けセキュリティ事業を強化
PR TIMES / 2024年6月29日 21時40分
-
BBSecとKELが海外向けセキュリティ事業を強化
PR TIMES / 2024年6月25日 12時15分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
エッジサービスの大規模エクスプロイトが攻撃者の主流トレンドに - ウィズセキュア、調査レポートを発表
PR TIMES / 2024年6月18日 11時15分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
ランキング
-
1妻に先立たれた65歳、年金約17万円・おひとり様シニアを襲う<老後破産へのカウントダウン>
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月3日 9時0分
-
2子供いない夫婦「相続で失敗しない」1つの方法 家庭裁判所で「調停」が必要になるケースもある
東洋経済オンライン / 2024年7月4日 8時20分
-
3今度はなんのコラボ? マクドナルドのX、次回の「ハッピーセット」のヒント画像公開...期待高まる
J-CASTニュース / 2024年7月4日 16時49分
-
4海上の空港になぜ“山”がある? 実は世界初案件「長崎空港」がやたらデコボコしているワケ
乗りものニュース / 2024年7月4日 7時42分
-
5「衝撃でした」従業員も驚き「川崎重工業」の裏金問題 海自隊員らに飲食費など提供か 共同作業で懇親会も 規模は十数億円の可能性
MBSニュース / 2024年7月4日 11時45分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください