目次
1. 背景
脆弱性スキャン(Nessus, Qualys, OpenVAS, Azure Defender, AWS Inspectorなど)は毎回数百〜数千件の検知を出します。
そのすべてに即対応するのは現実的ではありません。
SOCやセキュリティチームは「どの脆弱性から対応するか」を リスクベースで判断 する必要があります。
2. 優先度判断の主要な観点
(1) 技術的深刻度(CVSSスコア)
- CVSS(Common Vulnerability Scoring System)は 0.0~10.0 の範囲で深刻度を評価
- 例:
- 9.0以上 = Critical
- 7.0〜8.9 = High
- 4.0〜6.9 = Medium
- 0.1〜3.9 = Low
- ただし CVSS は 一般的な深刻度 であり、環境による影響を加味する必要あり
(2) 悪用可能性(Exploitability)
- 公開済みのPoC(Proof of Concept)が存在するか
- 実際の攻撃で活発に利用されているか(Exploit DB, CISA KEV, Threat Intel)
- 例: CVE-2023-XXXXX が ランサムウェアの侵入経路として悪用報告 → 最優先
(3) ビジネス影響度
- 脆弱性が影響するシステムの重要度(基幹業務、顧客情報、外部公開)
- 外部に晒されているか(インターネット公開サービス vs 社内閉域網のみ)
- 機密性・可用性・完全性(CIA Triad)のどれに強く影響するか
(4) 既存の緩和策の有無
- 既に WAF, IPS, EDR でシグネチャ対応済みか
- VPN越しやゼロトラスト環境で直接悪用できない構成か
- 一時的な回避策(設定変更・無効化)が可能か
3. 優先度判定の具体的ステップ
- スキャン結果の分類
- Critical/High/Medium/Low に分ける(CVSSベース)
- インターネット露出の有無を確認
- 外部公開システムは優先度を1段階上げる
- Exploit情報を確認
- CISA KEVカタログや脆弱性DBで「既に攻撃で悪用されているか」を調べる
- ビジネス重要度を加味
- 顧客向けWebシステムや社外公開サービスは最優先
- 内部テスト環境や閉域環境は後回し可能
- 既存対策の確認
- IPS/WAFルール適用済みなら優先度を下げられる場合あり
4. サンプル優先順位マトリクス
| CVSS / 影響範囲 | 公開済みPoCあり・攻撃活発 | 公開システム | 内部システム |
|---|---|---|---|
| 9.0以上 (Critical) | 最優先 (即日対応) | 最優先 (即日〜数日) | 高優先 (数日〜1週間) |
| 7.0〜8.9 (High) | 高優先 (数日以内) | 中優先 (1〜2週間) | 中〜低優先 |
| 4.0〜6.9 (Medium) | 中優先 (2〜4週間) | 中優先 | 低優先 |
| 0.1〜3.9 (Low) | 低優先 | 低優先 | 記録のみ |
5. SOC/CSIRTでの対応フロー
- 検知(脆弱性スキャン結果受領)
- トリアージ(CVSS + Exploit + 公開範囲 + ビジネス影響で優先度決定)
- 報告(運用チーム・システムオーナーにチケット発行)
- 封じ込め(設定変更・IPSルール適用・一時遮断)
- 恒久対応(パッチ適用・バージョンアップ・構成変更)
- 再スキャン&検証
6. まとめ
- 脆弱性対応は「数の多さに圧倒される」のが普通
- CVSSの数字だけでなく、Exploit有無・公開範囲・業務影響 を掛け合わせて優先度を決める
- SOCの役割は「リスクベースで優先度を整理し、オーナーに適切に渡すこと」
- 再発防止には スキャン定例化 + 優先度ルールの標準化 が不可欠
コメント