Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Predictive Prioritizationに関する16の質問に対する回答

Tenableは今年、攻撃に利用される可能性に基づいて脆弱性の優先度を付け直す、データサイエンスに基づいた画期的なプロセス「Predictive Prioritization」を発表しました。本記事では、この新しいプロセスがお客様の脆弱性管理に何をもたらすのかについて、16の喫緊の質問にご回答します。

2018年には16,500件の新しい脆弱性が公開され、このうちの大部分がCVSSにより重大度が高いまたは重大であると評価されました。脆弱性が増加の一途を辿るなかで、ビジネスにとって最大の脅威を特定し、最初に修復すべき部分を知るにはどうすればよいでしょうか?Predictive Prioritizationは、組織が大量の脆弱性に対応する方法を一変し、最も重要な脆弱性の修復に集中できるようにするためのプロセスです。 Predictive Prioritizationの仕組みに興味がありますか?よくある疑問に対する回答については、Predictive Prioritization FAQをご覧ください。

Q. Predictive Prioritizationとは何ですか?

A. Predictive Prioritizationは、攻撃に利用される可能性に基づいて、脆弱性の優先度を付け直すプロセスです。

Q. Predictive Prioritizationと脆弱性優先度格付け(VPR)の違いは何ですか?

A.Predictive Prioritizationプロセスのアウトプットは脆弱性優先度格付け (VPR)であり、個々の脆弱性の修復優先度を示します。VPRには0~10段階があり、最も重大度が高いのが10です。 VPRの詳細については、以下のビデオを視聴してください。

Q. なぜVPRスコアが必要なのですか?CVSSがすでに脆弱性を優先度付けしているのではないですか?

A.CVSS は、脆弱性のスコープと影響を把握するのに役立つシステムです。特定の脆弱性が悪用された場合にどのような事態が生じる可能性があるかについての妥当な解釈を提供します。また、特定の脆弱性が悪用される可能性を評価するための基盤も提供します。しかし、現在のアプリケーションは、効果的に優先度付けを行うための粒度に欠けています。全CVEの約60%が、CVSSで「高」または「重大」と評価されています。

Predictive PrioritizationはCVSSフレームワークに準拠していますが(図1.参照)、CVSSの悪用可能性およびエクスプロイトコード成熟度コンポーネントを機械学習(さまざまなデータソースに対応)で生成される脅威スコアで置き換えることで強化しています。これにより、組織は次の脆弱性に基づいて修復の意思決定ができるようになります。

  • 悪用される可能性が高い脆弱性
  • 悪用された場合に影響が大きい脆弱性

CVSS - Predictive Prioritizationフレームワーク

Q. VPRの代わりにCVSSスコアを使えますか?

A. いいえ。優先度付けをに使用している既存のプロセス(CVSSなど)をVPRで強化することをお勧めします。

Q. VPRとCVSSの重大度範囲はどう違いますか?

A.CVSSとVPRでは、重大度範囲の決定において同じカットオフを使用しています。しかし、優先度付けプロセスの違いにより、その分布は大きく異なります(以下のインタラクティブグラフ参照)。

Q. どのような脆弱性がVPRを与えられますか?

A. 現在、Predictive Prioritizationでは、米国の脆弱性情報データベース(NVD)で公開されているCVEを持つすべての脆弱性に対してVPRを生成しています。今後、Predictive Prioritizationでスコア付けする脆弱性の対象を拡張する予定です。

Q. VPR(スコア)は変化することがありますか?

A. はい、Predictive Prioritizationは毎日すべてのCVEのVPRを再計算しています。これらは、脅威の状況に応じて変化する可能性があります。詳細については、テクニカルホワイトペーパーをご覧ください。

Q. Predictive PrioritizationはCVSSスコアを持たないCVEのVPRを生成しますか?

A. はい。CVEに公開済みのCVSS評価基準/スコアがない場合、Predictive Prioritizationは入手可能な情報(脆弱性の説明など)を使ってVPRを生成します。弊社はこのVPRを、生テキストに出現する用語に基づいてスコアを予測するモデルに取り込んでいます。

例えば、脆弱性の説明に「Adobe」や「任意コード実行(ACE)」という用語が含まれている場合、特徴の似ている脆弱性の過去のアクティビティに基づいて、高いCVSSスコアを予測します。実際のCVSSスコアが判明した際に予測値と置き換えられます。通常、NVDが脆弱性公開後にCVSSスコアが公開されるまで45日ほどかかることを考えると、大きな強みです。

Q. VPRスコアについて教えてください。VPRが重大(9以上)とは実際にはどのような意味ですか?VPRが低いことはどのような意味を持ちますか?

A. 大まかに言うと、「重大」なVPRとは、対象の脆弱性が悪用される可能性が高く、および/または、悪用された場合にその影響が重大であることを意味します。

一方で、悪用される可能性が低く、および/または、悪用された場合にもその影響が小さい脆弱性には、低いVPRが割り当てられます。ただし、脆弱性が100%悪用されないとは言い切れないことに注意してください。

Q. Predictive Prioritizationは最も重要な3%に集中する上で役立つとのことですが、この3%は何を意味していますか?

A. この3%は、VPRが「高」または「重大」の脆弱性に対応しており、どの脆弱性を優先的に修復するべきか、ということを表しているとお考えください。VPRが「重大」および「高」の脆弱性から修復を開始して、低い重大度に向かって作業することをお勧めします。 ただし、残り97%の脆弱性を無視することを推奨しているわけではありません。

Q. VPRはCVSの一時的なスコアとどう違いますか?

A.これらの大きな違いは、VPRが将来のことを予測しているのに対し、CVSSは過去のことを表現しているだけに過ぎないということです。 VPRは、エクスプロイトコードの利用可能性および機能を検討するだけではなく、近い将来に悪用される可能性も予測します。VPRは、どのように悪用されるかについてもより詳細に示します。

Q. 「Predictive(予測的)」という言葉は興味深いですが、何故それほど重要なのですか?

A.過去のデータを見て脆弱性のスコアを提供するのではなく、過去のデータと機械学習をベースにした予測的アルゴリズムを使用して(何がすでに発生したかではなく)何が発生する可能性があるかを予測して、計画できるようにします。リスク管理では、過去に何かが発生したかどうかを知ることも重要ですが、将来に何が発生する可能性があるかを知ることの方がはるかに重要です。

Q. 「悪用できる」と「悪用された」に違いはありますか?

A.はい。「悪用できる」とは悪用可能なエクスプロイトが存在することを意味し、公開アーカイブに投稿された信頼性に欠ける概念実証と同程度基本的なものである場合があります。 しかし、「悪用された」脆弱性は重大です。これは、エクスプロイトにより脆弱性が突破されたことを意味します。

Q. 脆弱性がすでに悪用されている場合はどうなりますか?

A.脆弱性が過去に悪用されている可能性がある一方で、その脆弱性が将来アクティブに悪用される可能性(サイバー攻撃で使用されるなど)は時間と共に変化する可能性があります。

Q. すべての脆弱性の全履歴を詳細に分析しているのですか?

A.弊社は、脆弱性が公開されてから入手可能なすべての情報を監視しています。

Q. 脅威スコアを算出する上で機械学習モデルの入力に使用しているものは何ですか?

A.Predictive Prioritizationは現在、150以上のさまざまな機能を入力を基に脅威スコアを生成しています。機能(入力)は、CVEをより明確に説明または理解するために使用しているCVEの属性の1つです。いくつかの例をご紹介します。

  • 脆弱性の経過時間
  • エクスプロイトキットの利用可能性
  • ダークウェブ上でのやり取り

弊社では一般的に、機能をこれらのカテゴリーに分類しています。

  • 過去の脅威パターン(過去のエクスプロイトのエビデンス - 経過時間、頻度等)
  • 過去の脅威ソース(悪用の証拠を示す特定のソース等)
  • 脆弱性評価基準(評価ベクトル、攻撃の複雑さ、ベーススコアなどのCVSS評価基準等)
  • 脆弱性メタデータ(脆弱性の経過時間、脆弱性の影響を受けたベンダー/ソフトウェア等)
  • 脅威インテリジェンスデータを用いたエクスプロイトの利用可能性(脆弱性はエクスプロイトデータベースにあるか? Metasploitにあるか?)

 現在、データは7種類のソースから来ています。

  • 情報セキュリティウェブサイト
  • ブログ
  • 脆弱性開示
  • ソーシャルメディア
  • フォーラム
  • ダークウェブ
  • 脆弱性状況

他のPredictive Prioritizationリソースもご覧ください

このFAQはお客様のPredictive Prioritizationに関するよくある質問を基に作成しており、必要に応じて更新していきます。 このFAQのPDF版はこちらからダウンロードできます

他にも役立つリソースをご用意しています。

Tenable のブログに登録して通知を受けってください

登録する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

2,275ドル

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加していただくと、電話、メール、コミュニティ、チャットサポートを年中いつでもご利用いただけきます。詳細についてはこちらを参照してください。

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

オペレーショナルテクノロジーのセキュリティを強化しましょう。
リスクを軽減しましょう。