脆弱性管理の｢トリアージ｣が抱える指標の課題 すべてに対応は難しい､｢優先順位｣どうつける

第3段階がトリアージで、例えば使っている機器などに脆弱性が見つかった場合、直ちに対処すべきか、しばらく対策しなくても問題がないかを分析し評価します。そして第4段階で、パッチを当てたりシステムを停止したりなどの対策をとります。

――トリアージがうまく機能せずに、インシデントに発展するのはどのようなケースですか。

攻撃コードが公開されているなど悪用されやすい脆弱性は存在しますが、実際に攻撃が来るかの予測は極めて難しいです。状況を正しく把握できず、対処は後からでいいと間違った判断をしてしまうこともあります。

また、脆弱性情報がSI企業には届いていても、ユーザー企業に届いていないケースもあるでしょう。運用を外部に委託している場合、対応の責任分界点が明確になっておらず対策が漏れることもあります。

脆弱性情報が出たら、その日のうちに攻撃が来ることもあります。迅速に動ける体制があるかどうかで、インシデントに発展するかしないかの差が生じるのです。最近では、脆弱性に対処した時点ですでに侵害されている事例も増えています。パッチを当てて終わりではなく、ログを詳細に調べるなど現時点で侵害されていないか確認する能力も必要です。

トリアージに用いる「指標」には課題もある

――実際にどのようにトリアージを進めればよいのでしょうか。

ベンダーなどが公開する脆弱性情報を入手したら、それを評価するための指標が必要です。最も使われているのは国際的な指標のCVSS（Common Vulnerability Scoring System）で、10点満点で深刻度の高さが表されます。

多くの組織は、10点や9点と高いスコアであれば直ちに対処するというルールを作っているでしょう。しかし、深刻度合いが高いからといってすぐに攻撃が来るのか、逆にそれほど深刻ではないから放置してもいいのかはスコアだけではわかりません。深刻度と攻撃には多少の相関はありますが、必ずしもリンクしないのです。

そもそもCVSSでスコアが高いとされる脆弱性は多数あり、すべてに対処するのは組織のリソース的にもかなり厳しいでしょう。深刻度合いが一目瞭然なのはいいのですが、こうした点は世界的にもずっと課題と言われています。

――何か打ち手はないのでしょうか。

打開策の1つが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が提供するKEVカタログ（Known Exploited Vulnerabilities Catalog）です。