ユーザー企業における脆弱性対応の課題とSSVCの活用

はじめに

企業のCSIRTは、自社が利用する情報システムに関わる脆弱性情報を得た場合、「対応を行うのか行わないのか」「行う場合は早急に実施するのか、ある程度の猶予を設けるのか」など、タイムリーに判断することが求められます。通常、情報システムの脆弱性が公表される際はCVSSの値が公開されるため、CVSSを活用して判断している企業も数多くあるでしょう。ただ、CVSSの仕組み自体には対応の意思決定に関わるガイドがないため、CSIRTは自社における一定の判断基準を独自に作る必要があり、「SSVC（Stakeholder-Specific Vulnerability Categorization）を活用した脆弱性管理」で解説したとおり、CVSSを活用した判断基準にはいくつか課題があります。一方で、それらの課題に対応するために提案されたSSVCでは、意思決定を明確にするプロセスが導入されていることから、その活用に注目が集まっています。本稿では、企業がSSVCを活用するにあたってのメリットおよびデメリット、導入する際の注意点について、前後編の2回にわたって解説します。

企業における脆弱性対応の判断方法（これまでの企業の脆弱性対応の在り方）

先に説明したとおり、脆弱性対応においてCVSSのスコアを活用している企業は数多く存在しますが、CVSSには意思決定に関わるガイドがありません。そのため、企業はCVSSを活用する際、独自の判断基準を設ける必要があります。CVSSは技術的な観点でのスコアリングのみが行われているため、企業は自社への影響を何らかの軸で整理し、CVSSと掛け合わせて評価しているケースがほとんどでしょう。影響を図るための軸としてのCVSSv3には環境評価基準がありますが、環境評価基準の評価は難易度が高いという実情があります。そのため、実際の企業の現場では影響を図る軸として、図表1に例示したように、脆弱性を保有するデバイスがインターネットへの通信が可能かどうかといったシステム環境や、脆弱性が保有するデバイスが万が一侵害された際に影響を受ける情報の重要性などが利用されています。もちろん、上記の事例に限らず、IPAが配信する緊急度レベルを利用したり、CVSSを利用せずに脆弱性診断ツールの結果に基づいて脆弱性対応を行ったりするなど、企業によってさまざまな特色が見られます。

注：図表1に示した脆弱性判断の軸や対応期日は1つの考え方の例であり、これらを推奨するものではありません。

企業における脆弱性判断に関わる課題

CVSSを脆弱性の対応判断に利用する上で理解しておきたい注意点としては、下記のような点があります。

CVSSのスコアがベースとなっているため、依然として脆弱性そのものの技術的なスコアリングが判定結果に大きな影響を与える
脆弱性の悪用状況は基本評価基準ではカバーされていない

スコアリングは±0.5の誤差が許容される

例えば、攻撃コードが公開され、かつ実際に被害が確認されている脆弱性の対応優先度が「高」と判定される一方で、攻撃コードが確認されていない脆弱性であっても対応優先度が「高」と判定されるケースも想定されます。いずれも対応優先度は「高」ではあるものの、実際の現場では、被害が確認されている脆弱性を優先的に対応するでしょう。このように、実際の影響とCVSSのスコアはリンクしていないケースがあり、しばしば担当者を悩ませます。そのため、対応判断を行う意思決定としてのガイドを定めていたとしても、スクリーニングを行うのみで、実際の現場では担当者間の協議を通じ、優先度が「高」であるものの中から、さらに優先的に対応するものを決めるといったことが起きています。

このように、CVSSを利用している企業では意思決定ガイドを定めていても、最終的には人の意思が介在し、迅速に判断できないというケースが散見されます。

SSVCの活用による意思決定

上記に挙げたCVSSの課題は、SSVCを活用することで解消できる可能性があります。SSVCは、米カーネギーメロン大学ソフトウェア工学研究所が2019年12月に公表した脆弱性評価の手法であり、脆弱性対応の判断を導出することができるフレームワークです。SSVCは決定木を用いることで、人の意思を介在させることなく、迅速な意思決定を実現することができます（SSVCの詳細については、「SSVC（Stakeholder-Specific Vulnerability Categorization）を活用した脆弱性管理」をご参照ください）。

CVSSとSSVCの異なる点をまとめると以下のようになります。

CVSSはアウトプットとしてスコアやレベルを出すのに対し、SSVCでは対応方針まで導くことができます。これにより、これまでの脆弱性評価手法に比べてより迅速かつ明瞭に意思決定につなげられる可能性があります。

後編では、SSVCで利用する決定木のうち、一般的な企業のCSIRTが利用するであろうデプロイヤーツリーについて、そして決定木を構成する各パラメータについて解説します。

執筆者

村上純一

パートナー, PwCコンサルティング合同会社

Email

松原翔太

シニアマネージャー, PwCコンサルティング合同会社

Email

SSVCおよびCVEの併用による脆弱性管理プロセス高度化の可能性

8 results

2025-05-08

悪用された脆弱性の傾向分析

2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。

2025-04-08

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

2024-05-13

KEVを用いたEPSSの効果検証

FIRST が開発したEPSSの有効性を測るために、CISAが提供するKEVに掲載された脆弱性のEPSSのスコアが掲載の過去30日から掲載日までの間で実際にどのように変化したかを検証した結果について解説します。

2023-10-11

EPSS（Exploit Prediction Scoring System）を活用した脆弱性管理

EPSSは、脆弱性対応の優先度を判断するために、今後30日以内に脆弱性が悪用される蓋然性を一定の計算式によって算出する仕組みです。本稿では2022年2月に公開されたEPSS v2について、その仕組みや活用方法を解説します。

インサイト／ニュース

20 results

2025-06-12

IEC 62443-2-1第2版の改訂内容と推奨される対応

2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。

2025-06-12

ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて

NISTが公表した「NIST IR 8011 v1r1 （Automation Support for Security Control Assessments）」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。

2025-06-05

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表

2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン（適合事業者編）」、「重要経済安保情報保護活用法の運用に関するガイドライン（行政機関編）」及び「適正評価に関するQ&A」の概要を解説します。

2025-05-29

「営業秘密」の保護と利活用第1回：競争優位性の維持向上に不可欠な営業秘密保護対応

営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。