Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

予測に基づいた優先順位付けに関する 16 の質問に対する回答

Kevin Flynn
2019/4/8 • 読了目安 6 分
Kevin Flynn 
ブログホーム / 製品

Tenableは今年、攻撃に利用される可能性に基づいて脆弱性の優先度を付け直す、データサイエンスに基づいた画期的なプロセス「Predictive Prioritization」(予測に基づいた優先順位付け) を発表しました。本記事では、この新しいプロセスがお客様の脆弱性管理に何をもたらすのかについて、16の喫緊の質問にご回答します。

2018年には16,500件の新しい脆弱性が公開され、このうちの大部分がCVSSにより重大度が高いまたは重大であると評価されました。脆弱性が増加の一途を辿るなかで、ビジネスにとって最大の脅威を特定し、最初に修復すべき部分を知るにはどうすればよいでしょうか?Predictive Prioritizationは、組織が大量の脆弱性に対応する方法を一変し、最も重要な脆弱性の修復に集中できるようにするためのプロセスです。 Predictive Prioritizationの仕組みに興味がありますか? これに関する質問やその他のよくある質問への回答をご覧ください。 

Q. Predictive Prioritizationとは何ですか?

A.Predictive Prioritizationは、攻撃に利用される可能性に基づいて、脆弱性の優先度を付け直すプロセスです。

Q. Predictive Prioritizationと脆弱性優先度格付け(VPR)の違いは何ですか?

A.Predictive Prioritizationプロセスのアウトプットは脆弱性優先度格付け (VPR)であり、個々の脆弱性の修復優先度を示します。VPRには0~10段階があり、最も重大度が高いのが10です。 VPRの詳細については、以下のビデオを視聴してください。

Q. なぜVPRスコアが必要なのですか?CVSSがすでに脆弱性を優先度付けしているのではないですか?

A.CVSS は、脆弱性のスコープと影響を把握するのに役立つシステムです。特定の脆弱性が悪用された場合にどのような事態が生じる可能性があるかについての妥当な解釈を提供します。また、特定の脆弱性が悪用される可能性を評価するための基盤も提供します。しかし、現在のアプリケーションは、効果的に優先度付けを行うための粒度に欠けています。全CVEの約60%が、CVSSで「高」または「重大」と評価されています。

Predictive PrioritizationはCVSSフレームワークに準拠していますが(図1.参照)、CVSSの悪用可能性およびエクスプロイトコード成熟度コンポーネントを機械学習(さまざまなデータソースに対応)で生成される脅威スコアで置き換えることで強化しています。これにより、組織は次の脆弱性に基づいて修復の意思決定ができるようになります。

  • 悪用される可能性が高い脆弱性
  • 悪用された場合に影響が大きい脆弱性

CVSS - Predictive Prioritizationフレームワーク

Q. VPRの代わりにCVSSスコアを使えますか?

A.いいえ。優先度付けをに使用している既存のプロセス(CVSSなど)をVPRで強化することをお勧めします。

Q. VPRとCVSSの重大度範囲はどう違いますか?

A.CVSSとVPRでは、重大度範囲を決定する上で同じカットオフを使用しています。しかし、優先度付けプロセスの違いにより、その分布は大きく異なります(以下のインタラクティブグラフ参照)。

Q. どのような脆弱性がVPRを与えられますか?

A.現在、Predictive Prioritizationでは、米国の脆弱性情報データベース(NVD)で公開されているCVEを持つすべての脆弱性に対してVPRを生成しています。今後、Predictive Prioritizationでスコア付けする脆弱性の対象を拡張する予定です。

Q. VPR(スコア)は変化することがありますか?

A.はい、Predictive Prioritizationは毎日すべてのCVEのVPRを再計算しています。これらは、脅威の状況に応じて変化する可能性があります。詳細については、

Q. Predictive PrioritizationはCVSSスコアを持たないCVEのVPRを生成しますか?

A.はい。CVEに公開済みのCVSS評価基準/スコアがない場合、Predictive Prioritizationは入手可能な情報(脆弱性の説明など)を使ってVPRを生成します。弊社はこのVPRを、生テキストに出現する用語に基づいてスコアを予測するモデルに取り込んでいます。

例えば、脆弱性の説明に「Adobe」や「任意コード実行(ACE)」という用語が含まれている場合、特徴の似ている脆弱性の過去のアクティビティに基づいて、高いCVSSスコアを予測します。実際のCVSSスコアが判明した際に予測値と置き換えられます。通常、NVDが脆弱性公開後にCVSSスコアが公開されるまで45日ほどかかることを考えると、大きな強みです。

Q. VPRスコアについて教えてください。VPRが重大(9以上)とは実際にはどのような意味ですか?VPRが低いことはどのような意味を持ちますか?

A.大まかに言うと、「重大」なVPRとは、対象の脆弱性が悪用される可能性が高く、および/または、悪用された場合にその影響が重大であることを意味します。

一方で、悪用される可能性が低く、および/または、悪用された場合にもその影響が小さい脆弱性には、低いVPRが割り当てられます。ただし、脆弱性が100%悪用されないとは言い切れないことに注意してください。

Q. Predictive Prioritizationは最も重要な3%に集中する上で役立つとのことですが、この3%は何を意味していますか?

A.この3%は、VPRが「高」または「重大」の脆弱性に対応しており、どの脆弱性を優先的に修復するべきか、ということを表しているとお考えください。VPRが「重大」および「高」の脆弱性から修復を開始して、低い重大度に向かって作業することをお勧めします。 ただし、残り97%の脆弱性を無視することを推奨しているわけではありません。

Q. VPRはCVSの一時的なスコアとどう違いますか?

A.これらの大きな違いは、VPRが将来のことを予測しているのに対し、CVSSは過去のことを表現しているだけに過ぎないということです。 VPRは、エクスプロイトコードの利用可能性および機能を検討するだけではなく、近い将来に悪用される可能性も予測します。VPRは、どのように悪用されるかについてもより詳細に示します。

Q. 「Predictive(予測的)」という言葉は興味深いですが、何故それほど重要なのですか?

A.過去のデータを見て脆弱性のスコアを提供するのではなく、過去のデータと機械学習をベースにした予測的アルゴリズムを使用して(何がすでに発生したかではなく)何が発生する可能性があるかを予測して、計画できるようにします。リスク管理では、過去に何かが発生したかどうかを知ることも重要ですが、将来に何が発生する可能性があるかを知ることの方がはるかに重要です。

Q. 「悪用できる」と「悪用された」に違いはありますか?

A.はい。「悪用できる」とは悪用可能なエクスプロイトが存在することを意味し、公開アーカイブに投稿された信頼性に欠ける概念実証と同程度基本的なものである場合があります。 しかし、「悪用された」脆弱性は重大です。これは、エクスプロイトにより脆弱性が突破されたことを意味します。

Q. 脆弱性がすでに悪用されている場合はどうなりますか?

A.脆弱性が過去に悪用されている可能性がある一方で、その脆弱性が将来アクティブに悪用される可能性(サイバー攻撃で使用されるなど)は時間と共に変化する可能性があります。

Q. すべての脆弱性の全履歴を詳細に分析しているのですか?

A.弊社は、脆弱性が公開されてから入手可能なすべての情報を監視しています。

Q. 脅威スコアを算出する上で機械学習モデルの入力に使用しているものは何ですか?

A.Predictive Prioritizationは現在、150以上のさまざまな機能を入力を基に脅威スコアを生成しています。機能(入力)は、CVEをより明確に説明または理解するために使用しているCVEの属性の1つです。いくつかの例をご紹介します。

  • 脆弱性の経過時間
  • エクスプロイトキットの利用可能性
  • ダークウェブ上でのやり取り

弊社では一般的に、機能をこれらのカテゴリーに分類しています。

  • 過去の脅威パターン(過去のエクスプロイトのエビデンス - 経過時間、頻度等)
  • 過去の脅威ソース(悪用の証拠を示す特定のソース等)
  • 脆弱性評価基準(評価ベクトル、攻撃の複雑さ、ベーススコアなどのCVSS評価基準等)
  • 脆弱性メタデータ(脆弱性の経過時間、脆弱性の影響を受けたベンダー/ソフトウェア等)
  • 脅威インテリジェンスデータを用いたエクスプロイトの利用可能性(脆弱性はエクスプロイトデータベースにあるか? Metasploitにあるか?)

 現在、データは7種類のソースから来ています。

  • 情報セキュリティウェブサイト
  • ブログ
  • 脆弱性開示
  • ソーシャルメディア
  • フォーラム
  • ダークウェブ
  • 脆弱性状況

他のPredictive Prioritizationリソースもご覧ください

このFAQはお客様のPredictive Prioritizationに関するよくある質問を基に作成しており、必要に応じて更新していきます。

他にも役立つリソースをご用意しています。

Kevin Flynn

Kevin Flynn

ハイテクとサイバーセキュリティ分野で 25 年を超える経歴のある Kevin Flynn は、Tenable のシニアプロダクトマーケティングマネージャーです。彼のハイテクのキャリアは Apple Computer のアドバンスドテクノロジーグループでプロダクトマネージャーを務めたところから始まり、その後 Cisco でセキュリティテクノロジー部門に在籍し、プロダクトマネージャーとマーケティングマネージャーとして 12 年以上活躍しました。Cisco 退社後、Fortinet、Blue Coat、Skybox Security の各社でプロダクトマーケティングの役職を務め、Tenable 入社しました。 Kevin は世界中のカンファレンスでサイバーセキュリティについて講演し、関連問題について記事を多数執筆しています。

関連記事

Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!

March 10, 2023

Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!

Juan Perez

Juan Perez

The Ransomware Ecosystem: In Pursuit of Fame and Fortune

July 28, 2022

The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.

Satnam Narang

Satnam Narang

Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group

July 20, 2022

Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?

Claire Tills

Claire Tills

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

April 26, 2024

Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!

Juan Perez

Juan Perez

CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor

April 25, 2024

Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.

Satnam Narang

Satnam Narang

CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited

April 23, 2024

A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.

Satnam Narang

Satnam Narang

  • Threat Intelligence
  • Threat Management
  • Vulnerability Management
  • Vulnerability Scanning

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料でお試し 今すぐ購入

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する
無料でお試し 今すぐ購入

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する