リスクベースの脆弱性管理が効果的な理由

この記事では、CVSS と VPR スコア・CVE数を分析・比較し、リスクベースの脆弱性管理が効果的な理由とメリットを説明します。 | Tenable

攻撃者は、既知の脆弱性や蔓延している脆弱性を悪用し続けています。 昨年、米国の サイバーセキュリティ・インフラストラクチャセキュリティ庁 (Cybersecurity and Infrastructure Security Agency : CISA) と 連邦捜査局 (Federal Bureau of Investigation : FBI) は、2016 年から 2019 年にかけて最もよく悪用されたソフトウェアの脆弱性上位 10 件を特定した共同アラートを発表しました。 7 月 28 日、CISA と FBI は、オーストラリアの Australian Cyber Security Centre (ACSC) および英国の国家サイバーセキュリティーセンター (National Cyber Security Centre : NCSC) とともに、2020 年および 2021 年前半に攻撃者によって常習的に悪用される可能性のある脆弱性上位 29 件の詳細を示す共同サイバーセキュリティ勧告を発表しました。 実際には 30 の脆弱性が取り上げられていますが、脆弱性 (CVE-2018-13379) は 2020 年と 2021 年とで重複してしています。今回の勧告は、従来から知られているサイバーセキュリティのベストプラクティスを補強すると同時に、現在の脅威の状況に関する具体的な情報を提供しています。 これは、パッチが適用されていない重大な脆弱性が原因であり、企業が直面しているサイバーリスクのレベルを裏付けるものです。

これらの脆弱性を詳しく見ると、Tenable.io、Tenable.sc、Tenable Lumin に搭載されている Tenable Vulnerability Priority Rating (VPR) を利用し、リスクベースのアプローチで脆弱性管理を行うことのメリットがわかります。VPR は、2 つの要素によって決定される深刻度レベルに基づいて脆弱性を評価するので、修正の効率と効果を向上させることができます。

1. 脆弱性が悪用された場合の技術的な影響 

2. 今後 28 日間に予測される脅威の状況 


VPR の中核となるのは、機械学習をベースとしたアルゴリズムで、20 兆もの資産、脆弱性、脅威のデータポイントと、脅威の状況の変化を反映したインテリジェンスを用いて、脅威を予測できます。 VPR は特に、 最新のデータに基づいて脆弱性の短期的な脅威レベルを予測することを目的としています。 その結果、より正確なリスクの測定が可能となり、企業は修正作業に優先順位を付けることができます。

共同勧告に含まれる脆弱性を分析し、関連する CVSSv3 評価を 2021 年 7 月 28 日時点の VPR スコアと比較しました。 なお、個々の VPR スコアは、脅威環境の変化を反映して、時間の経過とともに変化する可能性があります。 その結果は下の表の通りです。

CVSS と VPR スコアの比較 : 悪用されている上位の脆弱性 (2021 年 7 月 28 日現在)

* VPR によると、現在、「高」と評価されている CVE は 1 つ、「中」と評価されている CVE は 4 つありますが、過去 6 か月以内の様々な時期に 5 つの CVE すべてが「重大」と評価されていたことに注意してください。  

実際のサイバーリスクをベースにした脆弱性管理の優先順位付け

7 月 28 日付の CISA アラートを詳しく読むと、企業が脆弱性を修正し、攻撃から身を守る上で直面している多くの問題が浮かび上がってきます。 

• 脆弱性が「重大」と評価された場合、セキュリティ担当者はその脆弱性を優先的に修正する必要があります。 CISA アラートに含まれる 29 の脆弱性のうち 11 は、「重大」ではなく「高」または「中」と評価されているため、CVSS スコアを使って修正作業の優先順位を決めている企業は、これらの脆弱性のうち 33% 以上にすぐにパッチを適用できない可能性があります。 一方、Tenable の VPR を使用した場合、CISA がフラグを立てた 29 の脆弱性のうち 24 が「重大」と評価されています。 例えば、Accellion (CVE-2021-27102) の脆弱性では、脅威の強度が高く、ダークウェブで盛んなやりとりがあるため、CVSS スコアは「高」(7.8) ですが、VPR スコアは「重大」(9.4) となっています。  

• 脅威の状況は動的なので、脆弱性の深刻度評価は現実を反映する必要があります。 しかし、CVSS スコアは静的なものであるのに対し、VPR スコアは脅威の状況の変化に応じて時間とともに変化します。 VPR で「中」と評価された 4 つの CVE は、深刻度評価に対する動的なアプローチの価値を示す良い例といえるでしょう。 2021 年 6 月の時点では、このグループの 4 つのうち、Pulse Connect Secure の脆弱性である (CVE-2021-22894、CVE-2021-22899、CVE-2021-22900) の 3 つが VPR では「重大」と評価されていました。4 つ目 (CVE-2019-5591) は、2021 年 4 月から 6 月にかけて VPR で「重大」と評価された Fortinet の脆弱性です。 企業は、個々の脆弱性の脅威の状況の変化を考慮しながら、各脆弱性がもたらすリスクの現状を反映して、緩和策の優先順位を決める必要があります。



• このアラートでは、よく知られている脆弱性にもかかわらず、検出されずパッチも適用されないままで、悪意のあるアクターにとって魅力的で永続的に存在する脆弱性の問題を取り上げています。 CISA アラートの脆弱性の 3 分の 1 は 2 年以上前から知られており、その中には 2017 年までさかのぼるものも含まれています。 4 年前の脆弱性である CVE-2017-11882 (Microsoft Office におけるメモリ破壊の脆弱性) は、最近の脅威で強度が高く、多数のイベントが確認されているため、CVSS スコアは 7.8 (高)、VPR スコアは 9.9 (重要) となっています。 効果のない修正方法やパッチ適用のプラクティスが存在する限り、攻撃者はこれらの一般に知られている脆弱性を引き続き利用することができてしまいます。


VPR の深刻度の分析に加えて、CISA アラートを分析した結果、以下のような興味深い発見がありました。

• レポートに記載されている脆弱性は、新型コロナウイルスが職場環境に与えた影響と、その結果としてパンデミックから生じたセキュリティ問題を浮き彫りにしています。 このアラートでは、「境界型デバイス」を標的とする悪意のあるアクターについて述べており、Microsoft Exchange、Pulse Secure、Accellion、Fortinet を取り上げています。 リモートワーカーに影響を与える重要な脆弱性については、こちらのブログ記事で詳しく紹介されています。



• 最も悪用されている欠陥は、Citrix ADC および Gateway に存在する認証されていないリモートコード実行の脆弱性です。 Citrix の脆弱性に対するエクスプロイトスクリプトは、犯罪者による入手が可能です。 上手くいけば、攻撃者は脆弱なホストから LDAP パスワードやクッキーを取得できます。 この Citrix の脆弱性については、Tenable のブログで詳しく紹介されています。  



• Tenable は、アラートと勧告に記載されているすべての脆弱性に対するプラグインを提供しています。お客様は、こちらからプラグインをご覧いただけます。 注目度の高い脆弱性に対して、Tenable は平均して 24 時間以内にプラグインをリリースしています。


脆弱性管理の次のステップ

これまで以上にリスクに注意を払い、今こそリスクベースのアプローチで脆弱性を管理する必要があります。 リスクベースの脆弱性管理 (RBVM) は従来の脆弱性管理とは異なり、単に脆弱性を検出するだけではなく、脅威の背景や潜在的なビジネスへの影響を洞察しながら、脆弱性のリスクを理解します。 膨大な数の脆弱性を排除し、企業にとって最もリスクの高い比較的少数の脆弱性に集中することができます。

アラートと勧告に記載されているデータを参考にすぐにアタックサーフェスをスキャンし、お使いの脆弱性管理ソリューションが記載されているすべての脆弱性を検出できることを確認してください。 まだリスクベースのアプローチをとっていない企業には、リスクベースの脆弱性管理のベストプラクティスとして、すべてをスキャンし (可能な限り認証スキャンを使用)、脆弱性がもたらすリスクに基づいて優先順位をつける脅威インテリジェンスと機械学習技術を活用して、修正の優先順位を付けることをお勧めします。 最も重要な脆弱性を最初に修正することが大切です。

リスクベースの脆弱性管理についてはこちらから

• リスクベースの脆弱性管理
• 予測に基づいた優先順位付けと VPR
• Tenable Research と Cyber Exposure アラート
• VPR が 2019 年に最も危険な CVE の優先順位付けに役立った方法 - ブログ