eSecurity Planetに8月31日(米国時間)、「CVSS Vulnerability Scores Can Be Misleading: Security Researchers|eSecurityPlanet」において、脆弱性の深刻度を評価する「共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)」について、そのスコアが過剰に評価されており、脆弱性のリスク管理において効率の悪い状況を生み出している可能性があると指摘した。

共通脆弱性評価システム(CVSS)では10までのスコア値で脆弱性の深刻度を評価する。10~9は緊急(Critical)、8.9~7.0は重要(Important/High)、 6.9~4は警告とされている。緊急に分類された脆弱性には迅速な対応が求められるため、セキュリティ担当者や管理者は共通脆弱性評価システムのスコア値を注意深く確認している。

しかしeSecurity Planetは、Flashpointが報告した2022年半ばのレポートを取り上げ、共通脆弱性評価システムスコア値で緊急と位置づけられたものであっても、実際にはそれほど深刻度が高くなかった可能性があることを指摘している(参考「The State of Vulnerability Intelligence: 2022 Midyear Edition | Flashpoint」)。

共通脆弱性評価システムのスコア値が過剰に付けられていた場合、セキュリティ担当者や管理者は実際にはそれほどリスクの高くない脆弱性への対処に高い優先順位を割り当てて対策や対応といった業務に取り組んでいることになる。

深刻度が緊急や重要に分類される脆弱性の絶対数が少なければ問題は少ないが、近年はスコア値が10.0となる緊急の脆弱性が多く見つかっており、対策や対応にそれ相応のコストが発生するようになっている。どの脆弱性が本当に対処すべきもので、どの脆弱性は後回しにしてもリスクが低いのか、この切り分けが解決すべき課題になっている。

eSecurity Planetは、共通脆弱性評価システムのスコア値のみに依存した優先順位付けには問題があると指摘。企業の文脈を加味して脆弱性対応の優先順位を付けていくことが大切だと説明している。