ユーザー企業における脆弱性対応の課題とSSVCの活用

はじめに

企業のCSIRTは、自社が利用する情報システムに関わる脆弱性情報を得た場合、「対応を行うのか行わないのか」「行う場合は早急に実施するのか、ある程度の猶予を設けるのか」など、タイムリーに判断することが求められます。通常、情報システムの脆弱性が公表される際はCVSSの値が公開されるため、CVSSを活用して判断している企業も数多くあるでしょう。ただ、CVSSの仕組み自体には対応の意思決定に関わるガイドがないため、CSIRTは自社における一定の判断基準を独自に作る必要があり、「SSVC（Stakeholder-Specific Vulnerability Categorization）を活用した脆弱性管理」で解説したとおり、CVSSを活用した判断基準にはいくつか課題があります。一方で、それらの課題に対応するために提案されたSSVCでは、意思決定を明確にするプロセスが導入されていることから、その活用に注目が集まっています。本稿では、企業がSSVCを活用するにあたってのメリットおよびデメリット、導入する際の注意点について、前後編の2回にわたって解説します。

企業における脆弱性対応の判断方法（これまでの企業の脆弱性対応の在り方）

先に説明したとおり、脆弱性対応においてCVSSのスコアを活用している企業は数多く存在しますが、CVSSには意思決定に関わるガイドがありません。そのため、企業はCVSSを活用する際、独自の判断基準を設ける必要があります。CVSSは技術的な観点でのスコアリングのみが行われているため、企業は自社への影響を何らかの軸で整理し、CVSSと掛け合わせて評価しているケースがほとんどでしょう。影響を図るための軸としてのCVSSv3には環境評価基準がありますが、環境評価基準の評価は難易度が高いという実情があります。そのため、実際の企業の現場では影響を図る軸として、図表1に例示したように、脆弱性を保有するデバイスがインターネットへの通信が可能かどうかといったシステム環境や、脆弱性が保有するデバイスが万が一侵害された際に影響を受ける情報の重要性などが利用されています。もちろん、上記の事例に限らず、IPAが配信する緊急度レベルを利用したり、CVSSを利用せずに脆弱性診断ツールの結果に基づいて脆弱性対応を行ったりするなど、企業によってさまざまな特色が見られます。

注：図表1に示した脆弱性判断の軸や対応期日は1つの考え方の例であり、これらを推奨するものではありません。

企業における脆弱性判断に関わる課題

CVSSを脆弱性の対応判断に利用する上で理解しておきたい注意点としては、下記のような点があります。

CVSSのスコアがベースとなっているため、依然として脆弱性そのものの技術的なスコアリングが判定結果に大きな影響を与える
脆弱性の悪用状況は基本評価基準ではカバーされていない

スコアリングは±0.5の誤差が許容される

例えば、攻撃コードが公開され、かつ実際に被害が確認されている脆弱性の対応優先度が「高」と判定される一方で、攻撃コードが確認されていない脆弱性であっても対応優先度が「高」と判定されるケースも想定されます。いずれも対応優先度は「高」ではあるものの、実際の現場では、被害が確認されている脆弱性を優先的に対応するでしょう。このように、実際の影響とCVSSのスコアはリンクしていないケースがあり、しばしば担当者を悩ませます。そのため、対応判断を行う意思決定としてのガイドを定めていたとしても、スクリーニングを行うのみで、実際の現場では担当者間の協議を通じ、優先度が「高」であるものの中から、さらに優先的に対応するものを決めるといったことが起きています。

このように、CVSSを利用している企業では意思決定ガイドを定めていても、最終的には人の意思が介在し、迅速に判断できないというケースが散見されます。

SSVCの活用による意思決定

上記に挙げたCVSSの課題は、SSVCを活用することで解消できる可能性があります。SSVCは、米カーネギーメロン大学ソフトウェア工学研究所が2019年12月に公表した脆弱性評価の手法であり、脆弱性対応の判断を導出することができるフレームワークです。SSVCは決定木を用いることで、人の意思を介在させることなく、迅速な意思決定を実現することができます（SSVCの詳細については、「SSVC（Stakeholder-Specific Vulnerability Categorization）を活用した脆弱性管理」をご参照ください）。

CVSSとSSVCの異なる点をまとめると以下のようになります。

CVSSはアウトプットとしてスコアやレベルを出すのに対し、SSVCでは対応方針まで導くことができます。これにより、これまでの脆弱性評価手法に比べてより迅速かつ明瞭に意思決定につなげられる可能性があります。

後編では、SSVCで利用する決定木のうち、一般的な企業のCSIRTが利用するであろうデプロイヤーツリーについて、そして決定木を構成する各パラメータについて解説します。

執筆者

村上純一

パートナー, PwCコンサルティング合同会社

Email

松原翔太

シニアマネージャー, PwCコンサルティング合同会社

Email

SSVCおよびCVEの併用による脆弱性管理プロセス高度化の可能性

8 results

2025-05-08

悪用された脆弱性の傾向分析

2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。

2025-04-08

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

2024-05-13

KEVを用いたEPSSの効果検証

FIRST が開発したEPSSの有効性を測るために、CISAが提供するKEVに掲載された脆弱性のEPSSのスコアが掲載の過去30日から掲載日までの間で実際にどのように変化したかを検証した結果について解説します。

2023-10-11

EPSS（Exploit Prediction Scoring System）を活用した脆弱性管理

EPSSは、脆弱性対応の優先度を判断するために、今後30日以内に脆弱性が悪用される蓋然性を一定の計算式によって算出する仕組みです。本稿では2022年2月に公開されたEPSS v2について、その仕組みや活用方法を解説します。

インサイト／ニュース

20 results

2025-05-29

「営業秘密」の保護と利活用第1回：競争優位性の維持向上に不可欠な営業秘密保護対応

営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。

2025-05-29

「営業秘密」の保護と利活用

営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。

2025-05-27

米国の船舶および港湾のサイバーセキュリティ法規制最新動向

グローバルでは近年、船舶サイバーセキュリティに関する統一規則（IACS UR E26/E27）の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。

2025-05-23

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関（EASA）が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS（委員会実施規則(EU) 2023/203および委員会委任規則2022/1645）について解説します。