脆弱性の修正ではまず何をすべきなのか:脆弱性による侵害可能性を29分の1に下げるには
Cisco Systems子会社のKenna Securityが公開した調査レポートでは、さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ(ソフトウェアの脆弱性を悪用して侵害される可能性)を定量化している。脆弱性を素早く修正するよりも有効な手法があるという。
Cisco Systemsは2022年1月19日(米国時間)、リスクベースの脆弱(ぜいじゃく)性管理を手掛ける子会社Kenna Securityが公開した調査レポートについて発表した。さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ(ソフトウェアの脆弱性を悪用して侵害される可能性)を定量化したものだ。この成果は、リスクベースのサイバーセキュリティプラクティスの拡充につながるとしている。
調査レポート「Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability」は、Kenna Securityの委託を受けて、Cyentia Instituteが行った調査の結果をまとめたものだ。Cyentia Instituteは、サイバーセキュリティ関連の研究やデータサイエンスに取り組んでいる。
調査では次の2点を狙った。
・個々の脆弱性と組織全体のエクスプロイタビリティを測定する方法の検討
・修正すべき脆弱性に優先順位を付けるさまざまな方法と、さまざまなレベルの脆弱性修正能力(パッチ適用能力)を組み合わせた複数のシナリオ下での、組織のエクスプロイタビリティを最小化するためのシミュレーション
この調査ではエクスプロイタビリティは、FIRST.orgが管理するオープンなExploit Prediction Scoring System(EPSS)を用いて決定した。EPSSは、Kenna SecurityとCyentia Instituteも参加する業界横断的な取り組みの成果だ。
脆弱性の修正では何を優先すべきなのか
Cisco Systemsは、調査結果のハイライトとして次の3点を挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。
脆弱性管理とセキュリティ診断サービスの未来とは
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。
APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか
サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。