脆弱性の修正ではまず何をすべきなのか：脆弱性による侵害可能性を29分の1に下げるには

Cisco Systems子会社のKenna Securityが公開した調査レポートでは、さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ（ソフトウェアの脆弱性を悪用して侵害される可能性）を定量化している。脆弱性を素早く修正するよりも有効な手法があるという。

[＠IT]

　Cisco Systemsは2022年1月19日（米国時間）、リスクベースの脆弱（ぜいじゃく）性管理を手掛ける子会社Kenna Securityが公開した調査レポートについて発表した。さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ（ソフトウェアの脆弱性を悪用して侵害される可能性）を定量化したものだ。この成果は、リスクベースのサイバーセキュリティプラクティスの拡充につながるとしている。

　調査レポート「Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability」は、Kenna Securityの委託を受けて、Cyentia Instituteが行った調査の結果をまとめたものだ。Cyentia Instituteは、サイバーセキュリティ関連の研究やデータサイエンスに取り組んでいる。

　調査では次の2点を狙った。

・個々の脆弱性と組織全体のエクスプロイタビリティを測定する方法の検討
・修正すべき脆弱性に優先順位を付けるさまざまな方法と、さまざまなレベルの脆弱性修正能力（パッチ適用能力）を組み合わせた複数のシナリオ下での、組織のエクスプロイタビリティを最小化するためのシミュレーション

　この調査ではエクスプロイタビリティは、FIRST.orgが管理するオープンなExploit Prediction Scoring System（EPSS）を用いて決定した。EPSSは、Kenna SecurityとCyentia Instituteも参加する業界横断的な取り組みの成果だ。

脆弱性の修正では何を優先すべきなのか

　Cisco Systemsは、調査結果のハイライトとして次の3点を挙げている。

• 脆弱性の修正能力を高めるよりも、修正すべき脆弱性に適切な優先順位を付ける方が、組織のエクスプロイタビリティを低減する上で効果的である
• 脆弱性を攻撃するために作成された簡易なプログラムであるエクスプロイトコードが公開された高リスクの脆弱性を優先的に修正すべきだ。同時に高い修正能力を持つことできれば、組織のエクスプロイタビリティを29分の1まで低減できる
• Twitterのメンションを利用して脆弱性修正の優先順位を決める方が、業界標準のCVSS（共通脆弱性評価システム）を利用する場合よりも、脆弱性の悪用を減らす効果が2倍高い

　Cyentia Instituteによれば、脆弱性管理の取り組みによって最大限のリスク低減を実現する実証済みの方法を求めている組織にとって、この調査レポートの内容は有益だと述べている。

　Cisco Systemsは、米国土安全保障省CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）が最近、「CVSSスコアに基づいて脆弱性修正の優先順位を決めるよりも、高リスクの脆弱性を重点的に修正する方が賢明である」という見解を示していることを引き合いに出し、今回の調査はこれを裏付けるものだと述べている。

どこにでもある脆弱性、どうすればよい？

　調査レポートではこの他、次のことも明らかになった。

・2021年には過去最高の2万130件（1日平均55件）のソフトウェア脆弱性が報告された。だが、組織に高いリスクをもたらすものはそのうち4％にとどまる
・ほぼ全て（95％）のIT資産に、エクスプロイタビリティの高い脆弱性が少なくとも1つは存在する
・エクスプロイトコードが公開された脆弱性を優先的に修正する方が、CVSSに基づいて修正する場合と比べて、エクスプロイタビリティを低減する効果が11倍高い
・大部分（87％）の組織が、アクティブな資産の少なくとも4分の1に未修正の脆弱性を抱えており、41％の組織は、資産の4分の3に脆弱性がある
・CVEを割り当てられた脆弱性の62％は、悪用される可能性が1％に満たない。この可能性が10％を超える脆弱性の割合は、5％となっている