予測に基づいた優先順位付けに関する 16 の質問に対する回答

Tenableは今年、攻撃に利用される可能性に基づいて脆弱性の優先度を付け直す、データサイエンスに基づいた画期的なプロセス「Predictive Prioritization」(予測に基づいた優先順位付け) を発表しました。本記事では、この新しいプロセスがお客様の脆弱性管理に何をもたらすのかについて、16の喫緊の質問にご回答します。

2018年には16,500件の新しい脆弱性が公開され、このうちの大部分がCVSSにより重大度が高いまたは重大であると評価されました。脆弱性が増加の一途を辿るなかで、ビジネスにとって最大の脅威を特定し、最初に修復すべき部分を知るにはどうすればよいでしょうか？Predictive Prioritizationは、組織が大量の脆弱性に対応する方法を一変し、最も重要な脆弱性の修復に集中できるようにするためのプロセスです。 Predictive Prioritizationの仕組みに興味がありますか？ これに関する質問やその他のよくある質問への回答をご覧ください。 

Q. Predictive Prioritizationとは何ですか？

A.Predictive Prioritizationは、攻撃に利用される可能性に基づいて、脆弱性の優先度を付け直すプロセスです。

Q. Predictive Prioritizationと脆弱性優先度格付け（VPR）の違いは何ですか？

A.Predictive Prioritizationプロセスのアウトプットは脆弱性優先度格付け (VPR)であり、個々の脆弱性の修復優先度を示します。VPRには0～10段階があり、最も重大度が高いのが10です。 VPRの詳細については、以下のビデオを視聴してください。

Q. なぜVPRスコアが必要なのですか？CVSSがすでに脆弱性を優先度付けしているのではないですか？

A.CVSS は、脆弱性のスコープと影響を把握するのに役立つシステムです。特定の脆弱性が悪用された場合にどのような事態が生じる可能性があるかについての妥当な解釈を提供します。また、特定の脆弱性が悪用される可能性を評価するための基盤も提供します。しかし、現在のアプリケーションは、効果的に優先度付けを行うための粒度に欠けています。全CVEの約60%が、CVSSで「高」または「重大」と評価されています。

Predictive PrioritizationはCVSSフレームワークに準拠していますが（図1.参照）、CVSSの悪用可能性およびエクスプロイトコード成熟度コンポーネントを機械学習（さまざまなデータソースに対応）で生成される脅威スコアで置き換えることで強化しています。これにより、組織は次の脆弱性に基づいて修復の意思決定ができるようになります。

• 悪用される可能性が高い脆弱性
• 悪用された場合に影響が大きい脆弱性

Q. VPRの代わりにCVSSスコアを使えますか？

A.いいえ。優先度付けをに使用している既存のプロセス（CVSSなど）をVPRで強化することをお勧めします。

Q. VPRとCVSSの重大度範囲はどう違いますか？

A.CVSSとVPRでは、重大度範囲を決定する上で同じカットオフを使用しています。しかし、優先度付けプロセスの違いにより、その分布は大きく異なります（以下のインタラクティブグラフ参照）。

Q. どのような脆弱性がVPRを与えられますか？

A.現在、Predictive Prioritizationでは、米国の脆弱性情報データベース（NVD）で公開されているCVEを持つすべての脆弱性に対してVPRを生成しています。今後、Predictive Prioritizationでスコア付けする脆弱性の対象を拡張する予定です。

Q. VPR（スコア）は変化することがありますか？

A.はい、Predictive Prioritizationは毎日すべてのCVEのVPRを再計算しています。これらは、脅威の状況に応じて変化する可能性があります。詳細については、

Q. Predictive PrioritizationはCVSSスコアを持たないCVEのVPRを生成しますか？

A.はい。CVEに公開済みのCVSS評価基準/スコアがない場合、Predictive Prioritizationは入手可能な情報（脆弱性の説明など）を使ってVPRを生成します。弊社はこのVPRを、生テキストに出現する用語に基づいてスコアを予測するモデルに取り込んでいます。

例えば、脆弱性の説明に「Adobe」や「任意コード実行（ACE）」という用語が含まれている場合、特徴の似ている脆弱性の過去のアクティビティに基づいて、高いCVSSスコアを予測します。実際のCVSSスコアが判明した際に予測値と置き換えられます。通常、NVDが脆弱性公開後にCVSSスコアが公開されるまで45日ほどかかることを考えると、大きな強みです。

Q. VPRスコアについて教えてください。VPRが重大（9以上）とは実際にはどのような意味ですか？VPRが低いことはどのような意味を持ちますか？

A.大まかに言うと、「重大」なVPRとは、対象の脆弱性が悪用される可能性が高く、および／または、悪用された場合にその影響が重大であることを意味します。

一方で、悪用される可能性が低く、および／または、悪用された場合にもその影響が小さい脆弱性には、低いVPRが割り当てられます。ただし、脆弱性が100%悪用されないとは言い切れないことに注意してください。

Q. Predictive Prioritizationは最も重要な3%に集中する上で役立つとのことですが、この3%は何を意味していますか？

A.この3%は、VPRが「高」または「重大」の脆弱性に対応しており、どの脆弱性を優先的に修復するべきか、ということを表しているとお考えください。VPRが「重大」および「高」の脆弱性から修復を開始して、低い重大度に向かって作業することをお勧めします。 ただし、残り97%の脆弱性を無視することを推奨しているわけではありません。

Q. VPRはCVSの一時的なスコアとどう違いますか？

A.これらの大きな違いは、VPRが将来のことを予測しているのに対し、CVSSは過去のことを表現しているだけに過ぎないということです。 VPRは、エクスプロイトコードの利用可能性および機能を検討するだけではなく、近い将来に悪用される可能性も予測します。VPRは、どのように悪用されるかについてもより詳細に示します。

Q. 「Predictive（予測的）」という言葉は興味深いですが、何故それほど重要なのですか？

A.過去のデータを見て脆弱性のスコアを提供するのではなく、過去のデータと機械学習をベースにした予測的アルゴリズムを使用して（何がすでに発生したかではなく）何が発生する可能性があるかを予測して、計画できるようにします。リスク管理では、過去に何かが発生したかどうかを知ることも重要ですが、将来に何が発生する可能性があるかを知ることの方がはるかに重要です。

Q. 「悪用できる」と「悪用された」に違いはありますか？

A.はい。「悪用できる」とは悪用可能なエクスプロイトが存在することを意味し、公開アーカイブに投稿された信頼性に欠ける概念実証と同程度基本的なものである場合があります。 しかし、「悪用された」脆弱性は重大です。これは、エクスプロイトにより脆弱性が突破されたことを意味します。

Q. 脆弱性がすでに悪用されている場合はどうなりますか？

A.脆弱性が過去に悪用されている可能性がある一方で、その脆弱性が将来アクティブに悪用される可能性（サイバー攻撃で使用されるなど）は時間と共に変化する可能性があります。

Q. すべての脆弱性の全履歴を詳細に分析しているのですか？

A.弊社は、脆弱性が公開されてから入手可能なすべての情報を監視しています。

Q. 脅威スコアを算出する上で機械学習モデルの入力に使用しているものは何ですか？

A.Predictive Prioritizationは現在、150以上のさまざまな機能を入力を基に脅威スコアを生成しています。機能（入力）は、CVEをより明確に説明または理解するために使用しているCVEの属性の1つです。いくつかの例をご紹介します。

• 脆弱性の経過時間
• エクスプロイトキットの利用可能性
• ダークウェブ上でのやり取り

弊社では一般的に、機能をこれらのカテゴリーに分類しています。

• 過去の脅威パターン（過去のエクスプロイトのエビデンス - 経過時間、頻度等)
• 過去の脅威ソース（悪用の証拠を示す特定のソース等）
• 脆弱性評価基準（評価ベクトル、攻撃の複雑さ、ベーススコアなどのCVSS評価基準等）
• 脆弱性メタデータ（脆弱性の経過時間、脆弱性の影響を受けたベンダー/ソフトウェア等）
• 脅威インテリジェンスデータを用いたエクスプロイトの利用可能性（脆弱性はエクスプロイトデータベースにあるか？ Metasploitにあるか？）

 現在、データは7種類のソースから来ています。

• 情報セキュリティウェブサイト
• ブログ
• 脆弱性開示
• ソーシャルメディア
• フォーラム
• ダークウェブ
• 脆弱性状況

他のPredictive Prioritizationリソースもご覧ください

このFAQはお客様のPredictive Prioritizationに関するよくある質問を基に作成しており、必要に応じて更新していきます。

他にも役立つリソースをご用意しています。

• オンデマンドウェビナー：「Cyber Exposureを減らすには、最も重要な3%の脆弱性を検出して修復しましょう」を視聴する
• 「Predictive Prioritization」のウェブページを見る