膨大な脆弱性情報に埋もれる現場、CVSS頼みでは間に合わない優先順位付けの新常識

背景

企業のIT環境には数千から数万の脆弱性が常に存在しており、毎日のように新たな脆弱性情報が公開されています。しかし、限られたIT人材とメンテナンス時間の中で、全ての脆弱性に即座に対応することは物理的に不可能です。従来は、CVSS（Common Vulnerability Scoring System）スコアという数値評価に基づいて「スコア9.0以上は緊急対応」といった機械的な優先順位付けが行われてきましたが、CVSSは脆弱性の「技術的な深刻度」を示すだけで、「実際に悪用されているか」「自社環境で影響があるか」は考慮されていません。その結果、実際には悪用されていない脆弱性の対応に追われる一方で、積極的に攻撃されている脆弱性への対応が遅れるという本末転倒な事態が発生しています。脆弱性管理の新常識として、「リスクベースの優先順位付け」が求められています。

実態

現実の脆弱性管理では、以下のような課題が発生しています。CVSSスコアが高い脆弱性が数百件リストアップされるが、どれから対応すべきか判断できない、パッチ適用のための停止時間が確保できず、対応が数ヶ月遅れる、ベンダーからパッチが提供されていないレガシーシステムの脆弱性が放置される、といった状況です。一方、攻撃者は「CVSS 10.0」の脆弱性よりも、「実際に悪用可能で、かつ対策が遅れがちな脆弱性」を優先的に狙います。例えば、VPN機器やファイアウォールなど、インターネットに直接公開されている機器の脆弱性は、CVSSスコアが中程度でも積極的に悪用されます。また、PoC（概念実証コード）が公開された脆弱性や、ランサムウェアグループが悪用している脆弱性は、発見から数日以内に大規模な攻撃キャンペーンが始まることがあります。米国CISAが公開する「Known Exploited Vulnerabilities（KEV）カタログ」には、実際に攻撃で悪用が確認された脆弱性がリスト化されており、これらへの優先対応が推奨されています。

影響と対策

脆弱性管理の優先順位を誤ると、本当に危険な脆弱性を放置したまま、重要度の低い対応に時間を浪費し、結果として攻撃を受けるリスクが高まります。対策としては、「リスクベース脆弱性管理（RBVM：Risk-Based Vulnerability Management）」の導入が有効です。これは、CVSS単独ではなく、「実際に悪用されているか（CISA KEV、脅威インテリジェンス）」「自社環境で該当システムがインターネットに公開されているか」「ビジネスへの影響度」「代替策の有無」を総合的に評価して優先順位を決定する手法です。FortiGateやCheck Pointなどのセキュリティ製品は、IPS（侵入防止システム）機能により、パッチ適用前でも脆弱性を狙う攻撃を遮断する「仮想パッチング」を提供しており、即座にパッチ適用できない環境でも一時的な防御が可能です。また、資産管理ツールと脆弱性スキャナーを統合し、「どのシステムにどの脆弱性があるか」を可視化することも重要です。さらに、定期的なパッチ適用サイクルを確立し、緊急度の高い脆弱性については臨時メンテナンス枠を設けるなど、運用面での体制整備も必要です。

まとめ

脆弱性管理は「全てに対応する」ことではなく、「重要なものから確実に対応する」ことです。CVSSだけに頼らず、実際の脅威動向と自社環境を考慮したリスクベースのアプローチが、限られたリソースで最大の防御効果を生み出します。PSIでは、脆弱性管理プロセスの見直し、FortiGate・Check PointのIPS機能を活用した仮想パッチング戦略の構築、そして脅威インテリジェンスに基づく優先順位付け支援を通じて、お客様の実効性ある脆弱性管理体制の確立をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp