脆弱性管理の｢トリアージ｣が抱える指標の課題 すべてに対応は難しい､｢優先順位｣どうつける

多くの組織は、10点や9点と高いスコアであれば直ちに対処するというルールを作っているでしょう。しかし、深刻度合いが高いからといってすぐに攻撃が来るのか、逆にそれほど深刻ではないから放置してもいいのかはスコアだけではわかりません。深刻度と攻撃には多少の相関はありますが、必ずしもリンクしないのです。

そもそもCVSSでスコアが高いとされる脆弱性は多数あり、すべてに対処するのは組織のリソース的にもかなり厳しいでしょう。深刻度合いが一目瞭然なのはいいのですが、こうした点は世界的にもずっと課題と言われています。

――何か打ち手はないのでしょうか。

打開策の1つが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が提供するKEVカタログ（Known Exploited Vulnerabilities Catalog）です。

これは悪用が確認された脆弱性のデータベースで、アメリカの連邦政府機関では2年前から、KEVで公開された脆弱性は緊急度に応じて2週間や1カ月以内など期間内に対処することを法律で義務付けています。

現在の対象は連邦政府機関ですが、民間もこれを活用すべきとの動きがあります。しかし、あくまでもアメリカ政府機関で想定される脆弱性しか掲載されないため、日本国内でしか使われていないソフトウェアの情報などは載りません。そのため、KEVの情報は実際に攻撃に使われる脆弱性よりもかなり少ないです。

CVSSでは数が多すぎるので、KEVの情報を参考にするというのは合理的な考え方でしょう。ただし、KEVでカバーされていない部分をどう判断するかは、企業や組織がそれぞれ取り組まなければなりません。

日本にもKEVのように誰でも参照できるリストがあれば、脆弱性情報の認識も速くなるはずです。今のところ、日本政府なり周辺機関で動きはありませんが、民間組織がそれぞれデータベースを作るのは二度手間だし、拘束力もありません。国としてKEVを真似た仕組みができるといいなと考えています。

現状のサイバーセキュリティ情報にアンテナを張っておく

――トリアージを機能させインシデントを起こさないためのポイントはありますか。

多くの組織が、ベンダーやSI企業などに委託してITシステムの構築や運用を行っているでしょう。IIJもネットワークの設計や運用管理のサービスを提供していますが、ベンダーやSI企業は脆弱性情報をいち早く入手しているので、協力関係を作って支援を得るといいでしょう。