予測に基づいた優先順位付けの概要、リスクベースの脆弱性管理における役割
従来の脆弱性管理では大量のデータが返されるため、それらをすべて確認して最初に修正すべき脆弱性を判断することは、セキュリティチームにとってほぼ不可能です。
一方、リスクベースの脆弱性管理では、ツールを活用して実際のリスクに基づいて優先順位を付けられるため、脆弱性対応の負担を 97% 削減できます。
脆弱性の優先順位付けを効果的に行う方法の 1 つとして、Tenable の予測に基づいた優先順位付けがあります。 予測に基づいた優先順位付けを行うことで、即時対応が必要な脆弱性の数が減り、最初に注力すべき 3% の脆弱性をピンポイントで特定できるため、脆弱性管理プロセスが強化されます。
予測に基づいた優先順位付けでは、機械学習を使用して、企業にとって最大のリスクとなる少数の脆弱性を特定します。 これにより、現代のアタックサーフェスについての継続的かつ包括的な洞察を得られます。
予測に基づいた優先順位付けでは、Tenable の脆弱性データを、サードパーティの脆弱性データや脅威データと組み合わせて使用します。 その後、Tenable Research が開発した高度なデータサイエンスアルゴリズムを使用して分析します。
予測に基づいた優先順位付けでは、包括的な脆弱性分析にリスクベースの脆弱性管理を導入することにより、攻撃者が企業に対して弱点を悪用する可能性を判断します。
予測に基づいた優先順位付けの更新は、毎晩行われます。まず、109,000 件の個別の脆弱性が分析されます。 次に、攻撃者が近い将来に脆弱性を悪用するおそれがあるかどうかを予測します。
従来の脆弱性管理で使用されている CVSS (共通脆弱性スコアシステム) では、60% 以上の脆弱性が「深刻」または「高」と評価されます。しかし、予測に基づいた優先順位付けでは、脆弱性ごとに VPR (Vulnerability Priority Rating) と ACR (資産重大度の格付け) を割り当てることで、修正の優先順位付けの決定をサポートします。
CVSS、VPR、ACR については、以下で詳しく説明します。
Vulnerability Priority Rating (VPR) とは何ですか?
従来の脆弱性管理の CVSS (共通脆弱性スコアシステム) は、脆弱性の潜在リスクを理論的な観点で評価します。
CVSS の評価は、0 (深刻度が最も低い) から 10 (深刻度が最も高い) まであります。 しかし、CVSS では、脆弱性の約 60% に対して「高」または「深刻」という CVSS スコアが付与されます。そのなかには、企業にとってリスクがほとんどない脆弱性も含まれています。
CVSS では実際のリスクかどうかは認識されず、環境内の各資産の重大度も考慮されません。 しかし、そのような情報は、修正の優先順位付けを効果的に行うためには不可欠です。
リスクベースの脆弱性管理では、CVSS を基盤とした Tenable の予測に基づいた優先順位付けにより、脆弱性が攻撃者によって悪用される可能性を予測できます。 また、実際のリスクと理論上のリスクが区別されます。 Tenable では、VPR (Vulnerability Priority Rating) と ACR (資産重大度の格付け) によって CVSS を補完します。
VPR は、脅威と攻撃の範囲、脆弱性の影響、脅威のスコアなど、リスクについての詳細情報を提供します。一方、ACR は、いくつかの主要要因に基づいて、ネットワーク上の各資産の重大度を表します。
Tenable では、ほとんどの脆弱性に対して VPR を算出しています。さらにこの値は、最新の脅威状況を反映するために定期的に更新されます。
VPR では、機械学習アルゴリズムと脅威インテリジェンスを活用して National Vulnerability Database (NVD) に公表されているすべての脆弱性が分析されています。 NVD にリストされていない脆弱性は VPR を取得できません。ただし、CVSS スコアに基づいてこれらの脆弱性を修復することはできます。
VPR の範囲
VPR の範囲は 0.1 ~ 10.0 で、値が高いほど悪用される可能性が高いことを示しています。
- 重大: 9.0 から 10.0
- 高: 7.0 から 8.9
- 中: 4.0 から 6.9
- 低: 0.1 から 3.9
VPR の計算方法
VPR の計算に使用される主要要因の一部を紹介します。
- 脆弱性の存続期間: 脆弱性の NVD 公開からの日数
- CVSS 影響スコア: NVD が提供する CVSSv3 影響スコア (NVD スコアがない場合、Tenable Vulnerability Management は Tenable が予測したスコアを表示します)
- エクスプロイトコードの成熟度: 社内外のソースからのエクスプロイトインテリジェンスの有無、巧妙さ、浸透度に基づいて算出される、潜在的なエクスプロイトの相対的な成熟度
- 製品カバレッジ: 脆弱性の影響を受ける固有製品の相対的な数
- 脅威のソース: 関連する脅威イベントが発生したすべてのソース
- 脅威の強度: 対象の脆弱性に関連して最近観測された脅威イベントの件数と頻度に基づいた相対的な強度
- 脅威の最新性: 脅威イベントが発生してからの日数 (0 ~ 730 日)
- 脅威イベントの例
- 脆弱性の悪用
- 公開レポジトリへの脆弱性のエクスプロイトコードの埋め込み
- 主要メディアで脆弱性が話題となっていること
- セキュリティに関する調査
- ソーシャルメディアで脆弱性が話題となっていること
- ダークウェブやアンダーグラウンドでの脆弱性が話題となっていること
- ハッカーフォーラムで脆弱性が話題となっていること
VPR は、従来の脆弱性管理で使用される CVSS を補完します。CVSS では、現実には使用されているエクスプロイトがない脆弱性についても、「高」または「深刻」と評価することが多いため、実際のリスクについて詳細に把握するには VPR が役立ちます。
CVSS (共通脆弱性スコアシステム) スコアとは何ですか?
CVSS (共通脆弱性スコアシステム) は、脆弱性リスクを理論的な観点から評価します。
CVSS のスコアも、VPR と同様、0 (最も深刻度が低い) から 10 (最も深刻度が高い) までとなっています。しかし、CVSS では、企業にリスクをもたらす可能性がほとんどない脆弱性も含めたすべての脆弱性のうちの約 60% が「高」または「深刻」と評価されます。
CVSS では、環境における実際のリスクや資産の重大度は考慮されません。 修正の優先順位付けを効果的に行うためには、VPR に含まれるこうした情報は不可欠です。
Security Week の記事では、「セキュリティチームが高い CVSS スコアに絞った脆弱性の修復に重点を置く場合、ランダムに脆弱性を選んで修復を行っている状態と変わらない」ということを示す 1 つのレポートを取り上げています。
つまり、CVSS 評価は、エクスプロイトの現実的な可能性や出回っている脅威の悪用の成功率とは相関していません。
Asset Criticality Rating (ACR) とは何ですか?
ACR (資産重大度の格付け) は、ネットワーク上のすべての資産の資産重大度を表します。 ACR は、ビジネスの目的、資産のタイプ、場所、接続性、機能、サードパーティのデータなど、いくつかの主要な指標に基づいています。
ACR の範囲は 0 から 10 まであります。 ACR のスコアが低い資産は、ビジネス上重要ではないとみなされます。 スコアが高い資産は、重要とみなされます。
ACR の範囲
- 重大: 9 から 10
- 高: 7 から 8
- 中: 4 から 6
- 低: 1 から 3
Tenable では、ネットワーク上の資産の初回スキャン時に ACR の値を提供します。 以降、ACR は Tenable によって自動で生成されます。この値は毎日更新されます。
ACR の値は、企業のニーズを反映するようにカスタマイズできます。
ACR の計算方法
VPR の計算に使用される主要要因の一部を紹介します。
- デバイスの種類
- 例: ハイパーバイザー (仮想マシンをホストする Type 1 ハイパーバイザー) 、またはプリンター (ネットワークプリンターまたはプリントサーバー)
- デバイスの機能
- デバイスのビジネスにおける使用目的。 例えば、ファイルサーバーやメールサーバーです。
- インターネットへの露出
- ネットワーク上におけるデバイスの位置とインターネットへの近接性。 例: 社内のデバイスでローカルエリアネットワーク (LAN) 内 (おそらくファイヤーウォールの背後に位置する)、または 社外のデバイスで LAN 外 (ファイヤーウォールの背後に位置しない)。
Asset Exposure Score (AES) とは何ですか?
Tenable では、VPR と ACR の他に、リスクベースの脆弱性管理アプローチをさらにサポートする AES (資産のエクスポージャースコア) も提供しています。
AES は、ある資産と関連のある最新の ACR と VPR の値に基づいて算出されます。 AES は、各資産の脆弱性の脅威、資産の重大度、スキャン動作などを考慮して、脆弱性の状況を定量化します。
AES は、各資産の相対的なエクスポージャーを 0 ~ 1,000 の範囲で表します。 AES が高いほど、エクスポージャーが高いことを示します。
Cyber Exposure Score (CES) とは何ですか?
Cyber Exposure Score (CES) は、企業のサイバーリスクを表します。これは VPR と ACR を組み合わせたものです。
CES の範囲は 0 (最小リスク) から 1,000 (最高リスク) で、企業のすべての AES の平均を表しています。
CES が提供する以下の機能が修正の優先順位付けに役立ちます。
- 資産の重大度の調査
- ビジネス目標の分析
- アタックサーフェス内の潜在的な脅威の深刻度の確認
- 今後 28 日以内に攻撃者が脅威を悪用する可能性の判断
- 悪用される可能性のあるリスクの浸透度に関連した脅威の状況の把握
CES はまた、リスクベースの脆弱性管理の効果について、社内部門や競合他社と比較するベンチマーキングにも役立ちます。
Tenable では、過去 90 日間にスキャンされたすべての資産の AES 値に基づいて、0 ~ 1,000 の数値で CES を計算します。 CES が高いほど、リスクが高いことを表します。
Cyber Exposure Score の対象