脆弱性の修正ではまず何をすべきなのか：脆弱性による侵害可能性を29分の1に下げるには

Cisco Systems子会社のKenna Securityが公開した調査レポートでは、さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ（ソフトウェアの脆弱性を悪用して侵害される可能性）を定量化している。脆弱性を素早く修正するよりも有効な手法があるという。

[＠IT]

　Cisco Systemsは2022年1月19日（米国時間）、リスクベースの脆弱（ぜいじゃく）性管理を手掛ける子会社Kenna Securityが公開した調査レポートについて発表した。さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ（ソフトウェアの脆弱性を悪用して侵害される可能性）を定量化したものだ。この成果は、リスクベースのサイバーセキュリティプラクティスの拡充につながるとしている。

　調査レポート「Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability」は、Kenna Securityの委託を受けて、Cyentia Instituteが行った調査の結果をまとめたものだ。Cyentia Instituteは、サイバーセキュリティ関連の研究やデータサイエンスに取り組んでいる。

　調査では次の2点を狙った。

・個々の脆弱性と組織全体のエクスプロイタビリティを測定する方法の検討
・修正すべき脆弱性に優先順位を付けるさまざまな方法と、さまざまなレベルの脆弱性修正能力（パッチ適用能力）を組み合わせた複数のシナリオ下での、組織のエクスプロイタビリティを最小化するためのシミュレーション

　この調査ではエクスプロイタビリティは、FIRST.orgが管理するオープンなExploit Prediction Scoring System（EPSS）を用いて決定した。EPSSは、Kenna SecurityとCyentia Instituteも参加する業界横断的な取り組みの成果だ。

脆弱性の修正では何を優先すべきなのか

　Cisco Systemsは、調査結果のハイライトとして次の3点を挙げている。