セキュリティ対策におけるトリアージとは?
企業や組織がサイバーセキュリティの脆弱性を発見した場合、その脆弱性のリスク度、脆弱性によって引き起こされるインシデントの影響度、脆弱性への対応の難易度などを評価し、そもそも脆弱性への対応が必要なのか、必要な場合の優先度や緊急度はどの程度なのかを判断する必要があります。この一連の評価と選択を、セキュリティ対策におけるトリアージといいます。
一般的に「トリアージ」とは、事故現場で多数の負傷者を評価・選別し、治療や処置の必要性・優先度を判断することを指します。サイバーセキュリティ対策におけるトリアージは、この用語をサイバーセキュリティ分野に応用したものです。
近年、セキュリティホールとなりうる脆弱性の数は増加の一途をたどっていますが、対応する人的リソースは必ずしも十分ではありません。そのため、多数の脆弱性が発見された場合でも、一律に対応するのではなく、トリアージに基づいて優先順位を付け、効率的に対応せざるを得ないのが実情です。
セキュリティ対策におけるトリアージの方法
トリアージの最初のステップは、発見された脆弱性のリスク度を評価することです。リスク評価は、CVSS(Common Vulnerability Scoring System)と呼ばれる共通脆弱性評価システムを用いて行われます。脆弱性の深刻度を定量的に比較し、リスクスコアという形で評価することができます。
その数値を確認し、問題が重大なのか、無視できる程度に軽微なのか、緊急なのかを整理したうえで、対応の難易度や影響度などを考慮し、最終的な対応を決定します。
評価指標は、CVSSだけでなく、後述するKEV(Known Exploited Vulnerability:既知の悪用された脆弱性)と呼ばれる脆弱性リストやSSVC(Stakeholder-Specific Vulnerability Categorization:ステークホルダーに特化した脆弱性の分類)などの情報と照らし合わせて、評価することになります。
手動によるトリアージ
トリアージの方法自体は前述の通りであり、手動か自動かの違いは、手動で処理するか、ツールを活用して自動で処理するかの違いです。
そのため、手動でトリアージする場合は、前述のように評価指標となるCVSS、KEV、SSVCなどの情報を収集し、発見された脆弱性をそれぞれ指標に照らして評価する必要があります。
元々、使用しているOSSのライセンスをチェックする必要があり、そのチェックを手動で行っていました。そのため、OSSのライセンス管理とともに脆弱性の管理も行う必要があり、脆弱性のトリアージも手動で行うケースがありました。しかし、利用するOSSの数が増えるにつれて、手動で対応することが難しくなり、自動化に移行するケースが増えています。ただし、利用しているOSSの数がそれほど多くない場合は、手動で行われるケースもあります。
自動でのトリアージ
自動でのトリアージは、手動でトリアージしていた一連の作業をツールで自動化することです。人が行うかツールが行うかの違いだけで、トリアージの流れは同じです。自動でのトリアージの場合も、発見された脆弱性のリスクをCVSS、KEV、SSVCなどの指標に照らして評価し、対策が必要かどうか、必要であれば優先度が高いか低いかを判断し、自動的に優先順位を付けます。
ソースコードとバイナリーコードによるトリアージの違い
ソースコードからトリアージを行う場合、バイナリーコードからトリアージを行う場合の違いについて解説します。
ソースコード
一般的なソフトウェア脆弱性管理ツールは、ソースコード単位で脆弱性を管理します。しかし、ソースコード解析では外部から調達したライブラリを解析できない場合が多々あります。
バイナリーコード
脆弱性管理ツールの中には、バイナリー解析が可能なものがあります。バイナリー解析を行うことで、ソースコード解析では対応できないバイナリーコードライブラリなどを使用した脆弱性であっても問題なく解析することができます。
セキュリティ対策のトリアージにおける基本概念
セキュリティ対策におけるトリアージは、発見された脆弱性を適切にトリアージするために、これらの指標などを組み合わせることになります。ここでは代表的な指標を3つ紹介します。
1.CVSS
CVSS(Common Vulnerability Scoring System)とは、米国の非営利団体MITRE(マイター)が公表している、サイバーセキュリティに関する脆弱性を特定し、そのリスクを定量的に評価するためのリスクスコアです。このCVSSを活用することで、発見された脆弱性のリスクを評価することができます。
2.KEV
KEV(Known Exploited Vulnerability)は、日本語では「既知の悪用された脆弱性」と訳されます。これは、米国のCISA(Cybersecurity and Infrastructure Security Agency:サイバーセキュリティ・社会基盤安全保障庁)がまとめた脆弱性のリストで、悪用される危険性が特に高い脆弱性の見落としを防ぐために活用できます。ここに挙げた脆弱性は、実際に攻撃されたことが観測されている必要があります。そのため、脆弱性が発見された場合、KEVで確認することで、どの攻撃手法が使われているかがわかり、その攻撃手法に弱い別の脆弱性を発見できる可能性があります。
3.SSVC
SSVC(Stakeholder-Specific Vulnerability Categorization:ステークホルダーに特化した脆弱性の分類)は、脆弱性管理におけるアクションの優先順位付けのためのフレームワークです。開発者と利用者といったステークホルダーを分離し、それぞれのステークホルダーを個別に評価できるように設計されています。これにより、開発者のリスクスコアは高いが、利用者のリスクスコアは低いといった評価の違いが生じます。
セキュリティ対策のトリアージを自動化するメリット
セキュリティ対策のトリアージを自動化する主なメリットは以下の3つです。
1.レビュー時間の大幅な短縮
発見された脆弱性は1つずつレビューし、対応する必要があるかどうか、緊急度や重要度を判断しなければなりません。たとえば、200件の脆弱性が発見された場合、200件すべてのレビューが終わるまでトリアージは完了しません。そのため、人が介入しようとすると、膨大な時間が必要になります。しかし、自動化されていれば、このようなレビューに必要な時間を大幅に短縮することができます。
2.開発エンジニアを必要としない
発見された脆弱性を評価する場合、開発エンジニアのレビューへの参加は必須です。開発エンジニアを含む関係者全員が集まって、1つ1つをトリアージしていくことが大前提となります。しかし、自動化ツールを導入すれば、開発エンジニアがレビューに参加する必要はなく、開発業務に集中させることができます。
3.対策の優先度を自動判定
自動化ツールの多くは、発見された脆弱性を評価するだけでなく、その影響度、対応の難易度、リスクの大きさなどを総合的に判断し、脆弱性の優先度を自動的に判定します。担当者は、ツールが判定した優先度に従って順次対策を講じることができ、作業自体も効率的に進めることができます。
セキュリティ対策のトリアージを効率的に実施することが重要
丸紅情報システムズが提供するソフトウェア脆弱性管理プラットフォーム「Cybellum」は、製品のSBOM管理、インシデント対応、脆弱性管理などの製品セキュリティのワークフローを単一の専用プラットフォームに統合しています。脆弱性の検出、評価、優先順位付け、対策実施の流れが大幅にスピードアップします。バイナリーからSBOMを抽出する機能など、優れたバイナリー解析機能により、脆弱性管理の自動化・効率化を可能にしています。
脆弱性の検出、評価、優先順位付け、対策実施の流れが大幅にスピードアップ
Cybellumの製品の脆弱性管理では、たとえ200件の脆弱性が検出されたとしても、すぐに対応すべき150件と、対応する必要のない50件が明確に分類されます。そして、対応が必要な150の脆弱性には自動的に優先順位が付けられます。担当エンジニアは、Cybellumが緊急度の高い順に優先順位を付けた脆弱性から対応すればよいのです。
それぞれ独自の規制に準拠し、コンプライアンスレポートを自動生成
また、脆弱性対応は昨今の世界的な潮流であり、各国・各地域でさまざまな規制が設けられています。たとえば、EUには「サイバーレジリエンス法」があり、EU域内で流通するデジタル製品は、悪用可能な脆弱性を含まないなど、所定のサイバーセキュリティ要件を満たす必要があります。日本のメーカーがEUにデジタル製品を輸出する場合、この要件を厳格に遵守しなければなりません。さらに、輸出先国にはそれぞれ独自の規制があり、そのすべてを遵守しなければなりません。以下の記事にてEUサイバーレジリエンス法における企業がとるべき対策について解説しています。
Cybellumは、このような規制や法律に準拠していることを証明するコンプライアンスレポートを自動生成する機能を備えており、レポート作成に必要な時間と労力を大幅に削減することができます。
優れたバイナリー解析、自動化されたトリアージ、自動化されたコンプライアンスレポート生成により、Cybellumは製品の脆弱性管理業務を大幅に効率化します。
Cybellum お役立ち資料
Cybellumのカタログやホワイトペーパーをダウンロードいただけます。
