脆弱性対応におけるリスク評価手法のまとめを読んだ

脆弱性対応におけるリスク評価手法のまとめを読んだ。https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/risk-assessment-methods.html

◇CVSS（Common Vulnerability Scoring System)
https://jvndb.jvn.jp/cvss/ja/v3.html
基本、現状、環境の3つの評価基準がある。一般的に利用されているのは3.1だけど最新バージョンは4。脆弱性の深刻度を0~10.0の数値で表す。国際的な指標でJVN (Japan Vulnerability Notes)にも採用されている。 v3.1とv4の違いは「現状評価基準」が「脅威評価基準」に名称変更、攻撃の難易度と影響を評価基準に追加など。

・基本評価基準
機密性、完全性、可用性に対する影響を評価する。時間や利用環境によって変化しない。
・現状評価基準…現在の深刻度を評価する。時間が経過すると変化する。
・環境評価基準…最終的な脆弱性の深刻度を評価する。ユーザ毎に変化する。

◇SSVC (Stakeholder Specific Vulnerability Categorization)
デプロイヤー、サプライヤー、コーディネーターの3者の観点から脆弱性のリスク評価を実施する
デプロイヤ:パッチを適用する組織
サプライヤ:パッチを提供する組織
コーディネータ:脆弱性情報を統制する組織
決定木を選ぶと優先順位が示される。

◇EPSS (Exploit Prediction Scoring System)
脆弱性対応の優先度を判断する指標。米国のFIRSTが管理しているため日本製品に対してはEPSSスコアが低くなる懸念。

◇KEV (Known Exploited Vulnerabilities)
実際に悪用が確認された脆弱性を掲載したカタログ。CVE-IDが割り当てられていて、攻撃が観測されており、明確な修正プログラムやパッチが公開されていることが条件。
アメリカの主観で管理されているため日本でのみ悪用されている脆弱性は反映されない恐れがある。

日経ネットワーク8月号にも「脆弱性対応必勝ポイント」としてCVSSやSSVCなどが載っていたので興味深く読んだ。「セキュリティのアレ」というpodcastのいつかの回で、「この脆弱性はCVEだけでなくKEVにも登録されて〜」と聞いてからKEVってなんだろうと思って放置していたのがここで解決した。
CVSSやSSVCをいつ参照するかというと、「①脆弱性情報が公開される→②自身の保有資産を確認し、該当する脆弱性を保有しているか確認する→③保有していた場合、CVSSなどの評価指標を用いて対応有無を決定する」という③のタイミングでいいのかな。NISTのNVDには年間2万件の新しい脆弱性が登録されてるとか。多い。