デジタル人材の育成

脆弱性対応におけるリスク評価手法のまとめ

最終更新日:2024年8月30日

背景

 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS(Exploit Prediction Scoring System)などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点について、本書のテーマである脆弱性対応の一環としてのリスク評価方法について新たに検討し、我々の考える運用例を本書にまとめている。

本書のポイント

脆弱性対応におけるリスクの考え方を整理

 脆弱性のリスク評価におけるリスクを定義している。本書では、脆弱性の悪用状況である「脅威」、脆弱性そのものの深刻度を表す「脆弱性」、ユーザの環境情報を考慮しているかどうかの「資産」の3要素を組み合わせてリスクとしている。

リスク評価指標の役割を整理

 各リスク評価指標(CVSS、EPSS、SSVC等)に対して、リスクの3要素のどれを考慮できているかを整理している。リスク評価指標を活用する際には、リスクの3要素を加味しつつ、運用負荷も考慮したリスク評価を検討すべきである。

脆弱性に対するリスク評価の目的を整理

 リスク評価を実施する目的としては、「緊急度の高い即時対応が求められる脆弱性」と「対応不要な脆弱性」を抽出することであると考えている。これを実現するために、複数のリスク評価指標を用いた脆弱性に対するリスク評価手法の活用例を紹介している。

リスク評価指標の閾値(CVSS基本値,EPSS)

 リスク評価指標を活用するにあたり、CVSS基本値やEPSSは閾値の設定が必要である。これに対して、2023年に発番された全CVEに対してデータを取得し、分析を行った。分析した結果から、本プロジェクトとしての閾値の目安を設定している。

リスク評価ツールの紹介

リスク評価を実施するにあたり、手動でリスク評価指標の評価値を取得するのは運用上好ましくない。本書では、リスク評価における有益なツールを紹介している。

本書の構成

第1章「リスク評価指標」
CVSS v3.1/CVSS v4.0/SSVC v2.1/EPSS/KEVを紹介し、各指標の特徴について記載しています。

第2章「リスク評価指標の活用例」
本書で紹介したリスク評価指標の活用例ついて記載しています。

第3章「運用」
リスク評価手法の活用例の運用方法について記載しています。

第4章「まとめ」
本書のまとめを記載しています。

ダウンロード

更新履歴

  • 2024年8月30日

    「脆弱性対応におけるリスク評価手法のまとめ」をver1.1に更新しました。

  • 2024年7月31日

    「脆弱性対応におけるリスク評価手法のまとめ」を公開しました。