見るべきは「CVSSスコア」“だけ”でいいのか？ 脆弱性管理に役立つ指標をまとめてみた：半径300メートルのIT

脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。

[宮田健，ITmedia]

　「脆弱（ぜいじゃく）性管理」は企業における喫緊の課題です。しかし漢字5文字のわりには考えなければならないことが多く、どう管理するか悩まれている方やどこから手を付けるべきか分からずひとまず見て見ぬ振りをせざるを得ない方もいると思います。

　脆弱性管理においては「アップデートパッチが提供されたら速やかに適用する」のがいわゆる鉄則ですが、脆弱性は日々、数え切れないほど生まれます。そしてパッチを適用するには、一通りのテストを実施しなければなりません。「セキュリティ観点からパッチを当てる必要があるとは分かってはいるもののすぐには難しい……」というのが現状なのです。まずは自分たちの組織にとって、本当に緊急の対応が必要な脆弱性と、そうでない脆弱性を区別することから始めましょう。

　と言いたいのはやまやまですが、それすら非常に難しいというのが実際に手を動かすと直面する課題でしょう。緊急の脆弱性かどうかを判断する指標としては共通脆弱性評価システム（CVSS）がよく使われます。

　しかし問題はCVSSが低い値だったからといって、本当に無視しても大丈夫なのかという点にあります。CVSSはあくまで単独の脆弱性に対する指標ですが、さまざまな脆弱性を組み合わせたとき、CVSS値以上の活用が成される可能性もゼロではありません。

「既知の悪用された脆弱性カタログ」に新たな項目が追加

　このように脆弱性管理はそう簡単なものではありませんが、この取り組みを進める企業の助けとなる資料もあります。それが米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が公開している「Known Exploited Vulnerabilities Catalog」（既知の悪用された脆弱性カタログ）、通称「KEV」です。

　これはサイバー攻撃に悪用された脆弱性をリストにまとめたもので、随時アップデートされます。リストに掲載された脆弱性はプライオリティを高めて対応するという戦略も有効でしょう。ただし、このリストはあくまで米国の組織が確認したもので、日本特有のアプリケーションなどは掲載されない点には注意しましょう。信頼できるソースの一つとして活用するとよいかもしれません。

　そして最近、このリストに新たな項目「Known to be Used in Ransomware Campaigns」列が追加されました。これはランサムウェア攻撃のキャンペーンに悪用された脆弱性かどうかを示すフラグで、もしこのフラグが「Known」となっていれば、ランサムウェア攻撃で悪用されたということになります。つまりリストに載った脆弱性の中でも、さらに優先度を上げて対応する必要があるということです。

「既知の悪用された脆弱性カタログ」に、新たな列「Known to be Used in Ransomware Campaigns」が追加された。「Known」となっている脆弱性はランサムウェア攻撃で悪用されていることが確認されているので優先度を上げて対応する必要がある（出典：CISAの「既知の悪用された脆弱性カタログ」）

脆弱性管理に役立つ指標はCVSSだけではない

　脆弱性管理において、CVSSだけではなかなか判断が付かないというのが現状のため、現場では脆弱性の優先度を決めるための指標が模索されていますが、CVSSに変わる指標としては、その他にもその名前を逆さにした「SSVC」（Stakeholder-Specific Vulnerability Categorization）などが注目されています。加えて最近注目されているのは「EPSS」と呼ばれる指標です。

　EPSSは全世界のCSIRT（Computer Security Incident Response Team）における情報交換を目的としたフォーラム「FIRST」（Forum of Incident Response and Security Teams）で開発されている仕組みで、CVSSやCVEの情報や言及されている参考URLの数などのさまざまな情報から、30日以内に該当脆弱性が悪用される確率を「EPSS Probability」として、1〜100の間で算出するというものです。

　EPSSはFIRSTのWebサイトで公開されており、その脆弱性が他の脆弱性と比較し、どのような位置にいるかを把握できます。データはCSV形式でダウンロードも可能となっていますので、まずはチェックしてみることをお勧めします。

FIRSTが公開しているEPSSスコア群（出典：FIRSTのWebサイト）

CVSSやSVCC、EPSS、KEVの全てを「併用」すべし

　ここまで読むと、CVSS以外にもさまざまな指標があることが分かっていただけたかと思います。どうしても「緊急度」という表現に引っ張られがちですが、業界全体のコンセンサスとして、CVSSだけで判断することは難しいということは何となく理解できるのではないでしょうか。

　大事なのはどれか一つの指標に頼るのではなく、複数の指標を参考にして対応を考えることです。見方を多面的にすることで、自社にとってより近い考え方を獲得できるでしょう。脆弱性から組織を守るために、まずはさまざまな見方があり、どれも一長一短であることを把握しておきましょう。

　さらに大きな問題は「その脆弱性が関係しうるソフトウェアやサーバが自社内のどこにあるのか」を把握することかもしれません。脆弱性管理というこの果てしなく遠い上り坂の入口に立つには、やらねばならないことが多すぎます。それでも、最初の一歩を踏み出さねばならないのですから、まずはKEVやCVSS、EPSSといった指標を眺めてみることからスタートしていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。