脆弱性に優先度を付けるツール「CVE_Prioritizer」 CVEやCVSSなど複数の評価指標を分析:セキュリティニュースアラート
脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。
脆弱(ぜいじゃく)性の迅速な修正はサイバー攻撃のリスクを減らす上で不可欠だ。しかしソフトウェアのアップデートはスケジュール調整やリスク評価を必要とするため、容易には実行できない。
多くの組織はこの問題に対処するため共通脆弱性評価システム(CVSS)のスコア値に基づいて脆弱性の深刻度を判断しているが、CVSSのスコア値は実際のサイバー攻撃への使われやすさを反映していないという指摘があり、必ずしも最適な指標とは言えない。
こうした場合の優先順位付けに使える「CVE_Prioritizer」というツールが「GitHub」で公開されている。このツールは脆弱性に関する最新の傾向に基づいて優先順位付けを実施し、対策の効率化を図るためのものだ。
脆弱性対処に優先順位を付けられるツールとは?
CVE_Prioritizerは、CVSSや、セキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)が定めるリスク評価指標「EPSS」(Exploit Prediction Scoring System)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開している「Known Exploited Vulnerabilities Catalog」(KEV)を情報源として脆弱性の優先順位を表示する。以下の5つの優先順位で対象の脆弱性を分類する。
- 優先度1+: KEVで見つかったCVE
- 優先度1: CVSSが6より大きく、EPSSが0.2より大きいCVE
- 優先度2: CVSSが6より大きく、EPSSが0.2より小さいCVE
- 優先度3: CVSSが6より小さく、EPSSが0.2より大きいCVE
- 優先度4: CVSSが6より小さく、EPSSが0.2より小さいCVE
CVE_Prioritizerの使用法やより詳細な判断基準についてはこちらを参照してほしい。
関連記事
- 高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。 - 「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。 - AI時代の要注意脅威アクターとは? Microsoftが調査レポート「Cyber Signals」を公開
MicrosoftはAIの登場によってサイバーセキュリティが大きな変革を迎えているとし、AIを使った攻撃対処や人材不足への対応など新たな取り組みを「Cyber Signals」第6版において伝えた。 - Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?
セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.