脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
脆弱(ぜいじゃく)性の迅速な修正はサイバー攻撃のリスクを減らす上で不可欠だ。しかしソフトウェアのアップデートはスケジュール調整やリスク評価を必要とするため、容易には実行できない。
多くの組織はこの問題に対処するため共通脆弱性評価システム(CVSS)のスコア値に基づいて脆弱性の深刻度を判断しているが、CVSSのスコア値は実際のサイバー攻撃への使われやすさを反映していないという指摘があり、必ずしも最適な指標とは言えない。
こうした場合の優先順位付けに使える「CVE_Prioritizer」というツールが「GitHub」で公開されている。このツールは脆弱性に関する最新の傾向に基づいて優先順位付けを実施し、対策の効率化を図るためのものだ。
CVE_Prioritizerは、CVSSや、セキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)が定めるリスク評価指標「EPSS」(Exploit Prediction Scoring System)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開している「Known Exploited Vulnerabilities Catalog」(KEV)を情報源として脆弱性の優先順位を表示する。以下の5つの優先順位で対象の脆弱性を分類する。
CVE_Prioritizerの使用法やより詳細な判断基準についてはこちらを参照してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.