脆弱性管理の｢トリアージ｣が抱える指標の課題 すべてに対応は難しい､｢優先順位｣どうつける

――トリアージのための準備や体制はどのようなものが必要ですか。

根岸征史（ねぎし・まさふみ）インターネットイニシアティブ セキュリティ本部 セキュリティ情報統括室長／国内大手電気メーカーのSEを経て、外資系ベンダ等でネットワーク構築、セキュリティ監査、セキュリティコンサルティングなどに従事。IIJ Technologyに入社後は、セキュリティサービスの責任者として、セキュリティ診断など数多くの案件を担当。現在はIIJのセキュリティインシデント対応チームで主にセキュリティ情報の収集、分析、対応にあたる（写真は本人提供）

脆弱性対応は大きく4段階に分かれます。前半2つはトリアージの準備です。第1段階が「対象の把握」で、どのようなソフトウェアやハードウェアを使っているかを把握します。第2段階ではそれらに脆弱性があるかを確認します。

そのためには、ベンダーなどが提供する情報を日常的にチェックします。またアタックサーフェスマネジメント（Attack Surface Management:ASM）と呼ばれる、インターネットに接続されている機器やソフトウェアを外部からスキャンして脆弱性を調べるサービスもあります。

第3段階がトリアージで、例えば使っている機器などに脆弱性が見つかった場合、直ちに対処すべきか、しばらく対策しなくても問題がないかを分析し評価します。そして第4段階で、パッチを当てたりシステムを停止したりなどの対策をとります。

――トリアージがうまく機能せずに、インシデントに発展するのはどのようなケースですか。

攻撃コードが公開されているなど悪用されやすい脆弱性は存在しますが、実際に攻撃が来るかの予測は極めて難しいです。状況を正しく把握できず、対処は後からでいいと間違った判断をしてしまうこともあります。

また、脆弱性情報がSI企業には届いていても、ユーザー企業に届いていないケースもあるでしょう。運用を外部に委託している場合、対応の責任分界点が明確になっておらず対策が漏れることもあります。

脆弱性情報が出たら、その日のうちに攻撃が来ることもあります。迅速に動ける体制があるかどうかで、インシデントに発展するかしないかの差が生じるのです。最近では、脆弱性に対処した時点ですでに侵害されている事例も増えています。パッチを当てて終わりではなく、ログを詳細に調べるなど現時点で侵害されていないか確認する能力も必要です。

トリアージに用いる「指標」には課題もある

――実際にどのようにトリアージを進めればよいのでしょうか。

ベンダーなどが公開する脆弱性情報を入手したら、それを評価するための指標が必要です。最も使われているのは国際的な指標のCVSS（Common Vulnerability Scoring System）で、10点満点で深刻度の高さが表されます。