脆弱性の報告は年々増加している。しかも深刻度が「緊急(Critical)」に分類される脆弱性の数が増加しており、組織は毎日のように新しい脆弱性報告を受け、運用しているシステムをどのようにアップデートすればよいか頭を悩ませている。または、思考を停止させ問題が発生するまで放置するというケースもある。適切な対応を取らなかった場合、最終的にどのような被害を招くことになるか検討がつかない状況であり、事業継続において高い懸念要因となっている。
現実問題として、報告されるすべての脆弱性に対して迅速にアップデートを適用することは不可能な状況にある。可能な対処方法は報告される脆弱性に対して「優先順位」を付け、優先順位の高いものから順次手を付けていく方法だ。複数のセキュリティベンダーやサイバーセキュリティ当局が、この方法を採用するようアドバイスを出すようになっている。
しかし、具体的な方法がわからなければ優先順位のつけようがないというのが、サイバーセキュリティ担当者の切実な声だ。こうした状況に対し、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)から有力なガイドラインが公開された。
CISAは11月10日(米国時間)、「CISA Releases SSVC Methodology to Prioritize Vulnerabilities|CISA」において、「SSVC方法論」と呼ばれるやり方のガイドラインを公開したと伝えた。ガイドラインおよび関連するデータは次のページからたどることができる。
-
SSVC Calculator | CISA
このガイドラインは攻撃の状況、技術的な影響、自動化具合、ミッションの普及率、社会への影響などの評価に基づいて脆弱性を4つのカテゴリに分類する手法。最終的に、次の4つのどれかの決定を得ることができるとされている。
- 追跡 - ただちに対処の必要なし。引き続き動向を観測し、新しい情報が出たら再評価する。通常のスケジュールでアップデートの適用を推奨
- 追跡* - ただちに対処の必要なし。引き続き動向を観測するが、より綿密な監視が必要な可能性のある対処を含んでいる。通常のスケジュールでアップデートの適用を推奨
- 注意 - 担当者からのアクションが必要。通常のスケジュールよりも早くアップデートの適用を推奨
- 行動 - 上位役職からのアクションが必要。会議で対処方法を検討する。迅速にアップデートの適用を推奨
セキュリティ脆弱性に優先順位をつけることは多くの企業において喫緊の課題になりつつある。今回、CISAが公開したガイドラインはこの用途で活用できる情報として興味深い。内容を確認するとともに、必要に応じて活用することが望まれる。
