脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
これは悪用が確認された脆弱性のデータベースで、アメリカの連邦政府機関では2年前から、KEVで公開された脆弱性は緊急度に応じて2週間や1カ月以内など期間内に対処することを法律で義務付けています。
現在の対象は連邦政府機関ですが、民間もこれを活用すべきとの動きがあります。しかし、あくまでもアメリカ政府機関で想定される脆弱性しか掲載されないため、日本国内でしか使われていないソフトウェアの情報などは載りません。そのため、KEVの情報は実際に攻撃に使われる脆弱性よりもかなり少ないです。
CVSSでは数が多すぎるので、KEVの情報を参考にするというのは合理的な考え方でしょう。ただし、KEVでカバーされていない部分をどう判断するかは、企業や組織がそれぞれ取り組まなければなりません。
日本にもKEVのように誰でも参照できるリストがあれば、脆弱性情報の認識も速くなるはずです。今のところ、日本政府なり周辺機関で動きはありませんが、民間組織がそれぞれデータベースを作るのは二度手間だし、拘束力もありません。国としてKEVを真似た仕組みができるといいなと考えています。
現状のサイバーセキュリティ情報にアンテナを張っておく
――トリアージを機能させインシデントを起こさないためのポイントはありますか。
多くの組織が、ベンダーやSI企業などに委託してITシステムの構築や運用を行っているでしょう。IIJもネットワークの設計や運用管理のサービスを提供していますが、ベンダーやSI企業は脆弱性情報をいち早く入手しているので、協力関係を作って支援を得るといいでしょう。
とはいえ、必ずしも依頼先が高度なセキュリティのノウハウを持っているとは限りません。パートナーの経験値を見極める必要もあるかもしれません。
海外のセキュリティ専門会社には、独自の知見で対処すべき脅威を分析し、情報を提供するサービスもあります。費用はかかりますが、こうした外部サービスをうまく利用するのも手です。またASMのサービスも、脆弱性の確認や把握をカバーします。経済産業省からもASMの導入ガイダンスが出ているので、脆弱性管理の選択肢の1つになるでしょう。
――脆弱性情報や社内の状況をつねにキャッチアップすることも大切ですね。
トリアージをしても、優先順位を誤って攻撃を受けてしまっては意味がありません。悪用されない脆弱性をいくら対策しても仕方ないので、組織の状況に合わせた指標や方法でトリアージをする必要があります。また状況の変化も速いので、一度トリアージして終わりにせず、最新のサイバーセキュリティ情報にはアンテナを張っておきましょう。
現状がわかっていれば、自社で対処できない場合にでも外部のサポートを受けるなどの選択肢を持つことができます。現場レベルだけでなく経営レベルで、サイバーセキュリティの現状を認識していることが理想です。
谷川 耕一:ライター
外部リンク
この記事に関連するニュース
-
KELとBBSecが海外向けセキュリティ事業を強化
PR TIMES / 2024年6月29日 21時40分
-
BBSecとKELが海外向けセキュリティ事業を強化
PR TIMES / 2024年6月25日 12時15分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
エッジサービスの大規模エクスプロイトが攻撃者の主流トレンドに - ウィズセキュア、調査レポートを発表
PR TIMES / 2024年6月18日 11時15分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
ランキング
-
1妻に先立たれた65歳、年金約17万円・おひとり様シニアを襲う<老後破産へのカウントダウン>
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月3日 9時0分
-
2子供いない夫婦「相続で失敗しない」1つの方法 家庭裁判所で「調停」が必要になるケースもある
東洋経済オンライン / 2024年7月4日 8時20分
-
3今度はなんのコラボ? マクドナルドのX、次回の「ハッピーセット」のヒント画像公開...期待高まる
J-CASTニュース / 2024年7月4日 16時49分
-
4海上の空港になぜ“山”がある? 実は世界初案件「長崎空港」がやたらデコボコしているワケ
乗りものニュース / 2024年7月4日 7時42分
-
5「衝撃でした」従業員も驚き「川崎重工業」の裏金問題 海自隊員らに飲食費など提供か 共同作業で懇親会も 規模は十数億円の可能性
MBSニュース / 2024年7月4日 11時45分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)