セキュリティの
学び場

今回の解説ニュース

脆弱性対応の優先順位付けについて、ガイドラインが公開されています。対応の優先順位が高く設定される脆弱性の傾向や、脆弱性対応の優先順位を付ける効果について説明します。

今回のガイドラインは、組織が脆弱性へ適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付けを行うために、その組織に適したトリアージガイドラインを作成するための手引きです。

高い専門知識を持っていない人でも判断できる程度にとどめているため、迅速に優先順位付けができるようになり、優先度について関係者全体の意識をある程度揃えることが期待できます。一方で、簡易的な判断基準であるため、攻撃による実際のリスクとの乖離がある可能性があるということです。

対応の優先順位が高く設定される脆弱性の傾向

対応の優先順位が高く設定される脆弱性の傾向として、主に脆弱性が悪用できる可能性が高いことと、情報資産への影響が大きいことが挙げられます。

脆弱性対応の優先順位付けは、主にCVSSスコアによって導き出された深刻度によって、判断されます。CVSSとは、Common Vulnerability Scoring Systemの略で、共通脆弱性評価システムと訳される、脆弱性の深刻度を評価する国際的な指標です。CVSSは、脆弱性の深刻度を0.0～10.0のスコアで表し、脆弱性対応の優先順位付けを支援します。

CVSSの基本評価基準では脆弱性に対して、主に悪用できる可能性と、情報資産への影響が評価されます。悪用できる可能性は、どこから攻撃できるかの区分や、攻撃の複雑さ、攻撃する前に認証が必要かについて評価されます。情報資産への影響は、セキュリティの三要素である、機密性、完全性、可用性が評価されます。

よって、悪用できる可能性が高く、情報資産への影響が大きいと判断された場合、CVSSスコアが高く評価され、脆弱性の深刻度も高いことから、対応の優先順位が高く設定されることが考えられます。

脆弱性対応の優先順位を付ける効果

脆弱性対応に優先順位をつけることによって、限られたリソースを有効活用できることや、脆弱性の被害を最小限に抑えることが期待できます。

脆弱性対応は、限られたリソースの中で、数多くの脆弱性に対処する必要があります。優先順位をつけることで、深刻度や影響範囲が大きい脆弱性から順に対処することができ、より効率的にセキュリティリスクを軽減することができます。

また、深刻度が高く、影響範囲が大きい脆弱性を放置しておくと、サイバー攻撃を受けた場合の被害も比例して大きくなります。脆弱性対応に優先順位をつけることで、これらの脆弱性に対して迅速かつ効果的に修正することができ、その被害を最小限に抑えることができます。