The Hacker Newsは7月27日(米国時間)、「Taking the Risk-Based Approach to Vulnerability Patching」において、「リスクベースアプローチ (Risk-Based Approach)」に基づくパッチ適用の優先順位の付け方について伝えた。企業にとってソフトウェアの脆弱性は常に大きなリスクとなっており、パッチ適用の優先順位付けにも大規模なコストがかかっている。そこで、適切な優先順位に基づき、パッチを適用することが重要になっている。

  • Taking the Risk-Based Approach to Vulnerability Patching

    Taking the Risk-Based Approach to Vulnerability Patching

脆弱性に対するパッチが非常に重要であることは周知の事実だが、効果的にパッチを適用することは難しいといわれている。侵入テストや各種スキャンツールなどさまざまな情報源から脆弱性は報告され、時にその総数は短期間で劇的に増加する場合がある。さらに、新しい脆弱性攻撃が日々登場している。新手のサイバー攻撃と利用可能なパッチを追跡することは膨大な作業となり、適切に対処しなければすぐに手に負えなってしまう危険性がある。

そこでパッチの適用を簡素化するため、まず優先順位を簡素化する必要がある。リスクベースアプローチとは、脆弱性がもたらす潜在的な影響とそれが悪用される可能性とを比較検討すること。リスクベースアプローチによって対策を講じる価値があるかどうかを判断でき、脆弱性の優先順位付けに費やす時間を大幅に短縮できる。

優先順位付けを単純化するため、次のようなリスクベースアプローチが必要とされている。

  • 露出度:インターネットに公開されている資産か、ネットワーク内のファイアウォールの内側でアクセスが制御されているプライベートな資産かどうかを分類する。通常、公開資産のほうがリスクは高いが、だからといって常に優先されるべきであるとは限らない。ユーザ情報を含まない単なる静的ページもあれば、支払いや個人識別情報(PII: Personally Identifiable Information)情報を扱っている公開資産もあり得るため、たとえ公開されている資産であっても機密性を考慮する必要がある。
  • ビジネス上の機密性:その資産がビジネスにとってどの程度重要であるかに基づいて分類する。資産の露出度に関係なくユーザーに関する機密情報を含む資産や支払いを処理する資産は、ビジネス上重要な機密性資産に分類される可能性がある。逆に、一部の静的なコンテンツを提供するだけの資産は、ビジネス上機密性が低い資産に分類される。
  • 報告された脆弱性の重要度:脆弱性の優先順位は、「critical」>「high」>「medium」>「low」>「info」の重要度の順で分類されなければならない。
  • エクスプロイトの可用性:公開されているエクスプロイトが悪用可能な脆弱性であれば、エクスプロイトが利用できない脆弱性よりも優先される必要がある。
  • エクスプロイトの複雑さ:エクスプロイトが非常に簡単でユーザーの操作をほとんど必要としない脆弱性は、高い権限とユーザの操作を必要とする複雑なエクスプロイトを持つ脆弱性よりも優先される。
  • 報告された脆弱性の分類法:オワスプ(OWASP: Open Web Application Security Project)や 共通脆弱性タイプ一覧(CWE: Common Weakness Enumeration)などの業界標準の分類も考慮する必要がある。

The Hacker Newsはすべての脆弱性に優先順位をつけることができれば、最も重要な脆弱性に対処することで組織にとってのリスクを劇的に減少させることができるとしている。