脆弱性インテリジェンスレポート：優先度付けにおける脅威を重視したアプローチ

Tenable Researchは、脆弱性管理において、脅威を重視したアプローチをとる上で欠かせない実環境データを企業に提供し始めました。

Cyber Exposure の現状インサイト - 防御側が現状について考えたり言うことではなく、実際にどう対応しているかを認識することはこれまで困難でした。

新しくリリースされた脆弱性インテリジェンスレポートでは、企業環境における現在の脆弱性公開の傾向、および実際の脆弱性の統計資料に対するインサイトの概要を提供します。本レポートでは、実際に感染報告のある脆弱性の広がりを影響を受けた企業の数に基づいて分析し、理論上だけでなく、セキュリティ担当者が実際に対処している脆弱性に注目しています。

企業環境内で検出された全ての脆弱性のうち、重大度が高いと評価された 61% の脆弱性に対して、サイバーセキュリティチームはどの脆弱性が真のリスクであるかを判断することが求められます。サイバーセキュリティチームは限られた修復リソースを最大限に活用するために、重要度が最も高い脆弱性を優先的に対処する必要があります。緊急事項ばかりでは、トリアージは成り立ちません。

適切な優先順位の付け方が非常に重要

優先順位を付けるために、企業はまず脆弱性の (理論上ではなく) 実際の影響を正しく理解する必要があります。優先順位を付ける方法として、CVSS では不十分な点があります。脆弱性の大部分が重要または緊急な重要度と分類されるため、規模と量において粒度が足りません。脆弱性の大部分は重要度が「重要」または「緊急」と登録されるため、CVSSv2 から CVSSv3 に移行しても問題は増えるだけです。

一般的な感覚では、全てが重要に見えるとどれも重要ではないと考えます。ですので、より優れた優先順位付けが必要になります。そのようなインサイトにはコンテキスト (脅威インテリジェンスなど) を取り込む必要があります。そうすることで、企業は「感染報告のある」実際の脅威に基づいて脆弱性を優先順位付けできます。

Tenable Research はそのようなインサイトを脆弱性インテリジェンスレポートで提供し始めました。

本レポートでは、一日で大きな影響を受けた企業の数に基づいて脆弱性の広がりを分析し、セキュリティ担当者が日次ベースで対処している脆弱性に注目しています。

960 の資産で、平均 870 の CVE が企業で発見されています。つまり、重大度が重要な CVE だけを修復するために優先順位を付けるのであれば、平均的な企業 (しばしば複数のシステム) で 1 日に 548 を超える脆弱性に優先順位を付け、評価しなければなりません。

これは、重大度が「重大」のCVEのみを修復することに基づいた優先度付け方法であれば、平均的な企業（しばしば複数のシステム）で各パッチごとに、毎日100以上の脆弱性を優先度付けしなければならないことを意味します。重大度が「重大」と評価されていない脆弱性（CVSSスコアが9以下）でも破滅的な影響をもたらす可能性があるのも問題です。例えば、WannaCryは9.0以下（8.5とされた）のスコアの脆弱性を悪用しました。

本調査により、脆弱性を管理する上での課題が規模、速度、および量であることが確認されました。表面上は全て同じに見える何千もの脆弱性を優先度付けするには、工学的課題としてだけではなく、脅威を重視した見方が必要となります。

本レポートでは、上位 20 の脆弱性チャートを紹介し、企業内における異なる技術分野にわたり最も広範囲に広がっている脆弱性についてのインサイトを提供します。本チャートでは、現実世界のテレメトリデータを利用して、どの脆弱性が実際に企業環境内に存在し、その結果最大限の真のリスクを示しているかを明らかにします。企業はこの情報を使用して、より大きな環境と比較して、独自の脆弱性リストを大局的に見ることができます。

特に重要な調査結果：

• 脆弱性は増加しています。2017 年には合計 15,038 件の新しい脆弱性が CVE に公開され、2016 年の 9,837 件と比較して 53% の増加となりました。 2018 年には、新しい脆弱性の数は 18,000～19,000 件に近づいています。企業環境内で発見された脆弱性のほぼ 2/3 (61%) は、CVSSv2 における重大度が高く (7.0～10.0) なっています。
• しかし、実際のパブリックエクスプロイトは全ての脆弱性のわずか 7% です。現実的には、大部分の脆弱性においては、機能するエクスプロイトが開発されることはなく、これらの中でもより小さな部分が兵器化され活性化して、脅迫者により使用されることになります。その 7% を見つけて修正することは組織の Cyber Exposure を改善するために非常に重要なのです。

現在の予想では、2018 年、1,500 を超える悪用された脆弱性が登録されるとされており、これは毎週 28 を超える悪用された脆弱性があることになります。より優れたインサイトは必須です。「あるといいもの」ではありません。脆弱性インテリジェンスレポートをこちらからダウンロードして、優先順位付けへのリスクベースのアプローチの構築を開始するために必要なインサイトを手に入れましょう。

詳細はこちらから

• 脆弱性インテリジェンスレポートをダウンロード。
• 電子書籍を読む: サイバーセキュリティの優先順位の付け方: CISO 向けの入門書。
• 技術ブログを読む: 3 つの注目すべき脆弱性インテリジェンスインサイト