脆弱性に優先度を付けるツール「CVE_Prioritizer」 CVEやCVSSなど複数の評価指標を分析：セキュリティニュースアラート

脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。

[後藤大地，有限会社オングス]

　脆弱（ぜいじゃく）性の迅速な修正はサイバー攻撃のリスクを減らす上で不可欠だ。しかしソフトウェアのアップデートはスケジュール調整やリスク評価を必要とするため、容易には実行できない。

　多くの組織はこの問題に対処するため共通脆弱性評価システム（CVSS）のスコア値に基づいて脆弱性の深刻度を判断しているが、CVSSのスコア値は実際のサイバー攻撃への使われやすさを反映していないという指摘があり、必ずしも最適な指標とは言えない。

　こうした場合の優先順位付けに使える「CVE_Prioritizer」というツールが「GitHub」で公開されている。このツールは脆弱性に関する最新の傾向に基づいて優先順位付けを実施し、対策の効率化を図るためのものだ。

脆弱性対処に優先順位を付けられるツールとは？

　CVE_Prioritizerは、CVSSや、セキュリティフォーラム「FIRST」（Forum of Incident Response and Security Teams）が定めるリスク評価指標「EPSS」（Exploit Prediction Scoring System）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が公開している「Known Exploited Vulnerabilities Catalog」（KEV）を情報源として脆弱性の優先順位を表示する。以下の5つの優先順位で対象の脆弱性を分類する。

• 優先度1+：　KEVで見つかったCVE
• 優先度1：　CVSSが6より大きく、EPSSが0.2より大きいCVE
• 優先度2：　CVSSが6より大きく、EPSSが0.2より小さいCVE
• 優先度3：　CVSSが6より小さく、EPSSが0.2より大きいCVE
• 優先度4：　CVSSが6より小さく、EPSSが0.2より小さいCVE

　CVE_Prioritizerの使用法やより詳細な判断基準についてはこちらを参照してほしい。