この記事でわかること
本記事は、脆弱性管理の新常識「KEV・EPSS・SSVC」の実践編です。架空のシナリオで基本をおさらいした後、実在した脆弱性CVE-2024-21413 (Microsoft Outlook)を題材に、スコアだけでは見抜けない”本当の脅威”をどう分析するのか、具体的なプロセスを追体験します。
前回のあらすじと、分析の前提
前回の記事で、情シスの鈴木さんはCVSSスコアだけに頼る脆弱性管理の限界と、KEV(悪用されているか)、EPSS(悪用されそうか)、SSVC(どうすべきか)という新しい指標の重要性を学びました。(詳細が気になる方は、ぜひ概念・知識編からご覧ください)
SSVCは評価する人の役割(ステークホルダー)によって判断基準が異なりますが、この記事の読者の多くが該当するであろう、システムのパッチ適用などを実際に行う「デプロイヤー」の視点で分析を進めます。デプロイヤーが最終的に下す判断は『Immediate(即時対応)』『Out-of-cycle(定例外対応)』『Scheduled(定例対応)』『Defer(延期)』の4つです。
ウォーミングアップ:デプロイヤーとしての優先順位付け
ある朝、鈴木さんは3つの異なる脆弱性に対応する必要に迫られました。
| 脆弱性 | CVSS | KEV登録 | EPSSスコア | ビジネスへの影響 |
|---|---|---|---|---|
| A: 顧客向けWebサーバー | 9.8 | あり | 95% | 甚大 |
| B: 社内ファイルサーバー | 4.5 | なし | 80% | 甚大 |
| C: 開発用テストサーバー | 9.8 | なし | 2% | 軽微 |
「よし、落ち着いてデプロイヤーとしてのSSVCフレームワークで考えてみよう」
- 脆弱性Aは、KEVに登録されている時点で議論の余地なく「Immediate(即時対応)」だ。
- 脆弱性Cは、CVSSは高いがEPSSも低く、影響も軽微。これは「Scheduled(定例対応)」でいいだろう。
- 問題は脆弱性Bだ。CVSSは低いがEPSSが非常に高く、影響も甚大。これは通常のサイクルを待たずに対応すべき「Out-of-cycle(定例外対応)」と判断すべきだ。
鈴木さんは、機械的なスコア対応から脱却し、合理的な優先順位付けができるようになっていました。
【実践】実在の脅威「CVE-2024-21413」との対峙
そんなある日、鈴木さんの目に新しい脆弱性情報が飛び込んできます。
「Microsoft Outlookのリモートコード実行の脆弱性、CVE-2024-21413」
「Outlookか…全社で使ってるから影響は大きいな。さて、深刻度は…?」
鈴木さんが最初に確認したNVDの情報では、CVSSスコアは「7.8 (High)」でした。(※Microsoft社は後に9.8と評価しましたが、このように情報源によってスコアが異なることも現実にはよくあります)
「7.8か…。Highではあるが、昨日対応した9.8の案件よりは優先度が低い、と考えていいのか…?」
一瞬、そう考えた鈴木さんですが、スコアだけで判断する危険性はもう十分に理解しています。彼は、学習したプロセスに従って、多角的な分析を始めました。
鈴木さんの思考プロセス:CVE-2024-21413の深掘り分析
Step 1 & 2: KEV(事実)とEPSS(予測)の確認
まず、CISAのKEVカタログとFIRST.orgのEPSSスコアを同時に確認します。
- KEVカタログ → 登録あり。(=現実の攻撃で悪用済み)
- EPSSスコア → 90%超え。(=今後30日以内の悪用確率が極めて高い)
この2つの情報だけで、この脆弱性が極めて危険であることはほぼ確定です。
Step 3: 脆弱性の「質」の分析
鈴木さんは、なぜこの脆弱性が攻撃者に人気なのか、その詳細を読み解きます。
「なんだこの攻撃ベクターは…メールをプレビュー画面で表示しただけで、悪意のあるリンクが実行されかねない?」
ユーザーが能動的に何かをクリックする必要がないのです。これは、攻撃のハードルが極めて低く、大規模な攻撃に悪用されやすい、非常に「質の悪い」脆弱性であることを意味します。
Step 4: SSVCによる最終判断(ディシジョンツリーの実践)
全ての情報を統合し、鈴木さんはSSVCのディシジョンツリーに当てはめて、最終的な意思決定を下そうとします。
【SSVCディシジョンツリー:デプロイヤー版(概念図)】
[START]
|
V
[Q1: Exploitation (悪用の状況は?)]
|
+-- [Active (悪用あり)] --------------------------------------> [結論: Immediate]
|
+-- [PoC / None (悪用なし)]
|
V
[Q2: Exposure (攻撃者に晒されているか?)]
|
+-- [Small/Unlikely (限定的/可能性低)] -------------> [結論: Defer / Scheduled]
|
+-- [High (高い)]
|
V
[Q3: Utility (悪用の有用性は?)]
|
+-- [Low (低い)] ---------------------------> [結論: Scheduled]
|
+-- [High (高い)]
|
V
[Q4: Mission Impact (ビジネス影響は?)]
|
+-- [Critical (事業継続に影響)] ------> [結論: Immediate]
|
+-- [High (大きな損害)] --------------> [結論: Out-of-cycle]
|
+-- [Medium/Low (中/軽微)] ----------> [結論: Scheduled]
しかし、この詳細な項目を前にして、鈴木さんは新たな壁に気づきます。
「なるほど、評価項目は分かった。だが…『ビジネス影響がHigh』と『Critical』の境界線は、うちの会社ではどこにあるんだ?情シスの私が『High』だと思っても、営業部長は『Critical』だと判断するかもしれない。この基準を事前に全員で合意しておかないと、結局、声の大きい人の意見で優先度が決まってしまう。これでは運用が破綻する…!」
SSVCは強力なフレームワークですが、その効果を最大限に引き出すには、評価基準そのものを組織内で明確に定義し、合意形成しておくという、非常に重要な準備段階が必要なのです。
この気づきを得た上で、鈴木さんは改めてCVE-2024-21413の評価に臨みます。
「基準作りの必要性はさておき、まずはこのCVEを評価してみよう。Q1、『Exploitation(悪用の状況)』は…。答えは明確に『Active』だ。この時点で結論は『Immediate』だが、訓練のため他の項目も見てみよう。Q2、『Exposure』…。全社員が使うOutlookで、インターネットに常時接続されている。文句なしに『High』だ。Q3、『Utility』もゼロクリックに近い攻撃なので『High』。Q4、『Mission Impact』は、ランサムウェアに繋がれば事業停止もありうるので『Critical』。全ての項目が最悪のシナリオを示しているな…」
【SSVCによる意思決定】 → Immediate(即時対応)
鈴木さんは、SSVCという羅針盤の解像度を上げたことで、より確信を持って「Immediate」の判断を下しました。同時に、この羅針盤を組織全体で正しく使いこなすための、次なる課題も見えたのでした。
そして、鈴木さんが直面した「もう一つの壁」
CVE-2024-21413への対応を終え、安堵のため息をつく鈴木さん。彼は自分の成長を実感していました。もはやスコアの奴隷ではない。自分はリスクの主人なのだ、と。
しかし、彼はふと、PCの画面に映る膨大なアラートのリストに目をやります。
「今日の分析は完璧だった。でも、これを今日新たに見つかった他の30件の脆弱性すべてに対して、同じレベルで実行できるのか…?うちの会社が持つ数千の資産すべてへの影響を考慮しながら…?」
背筋に、冷たい汗が流れます。
一つの脆弱性を深く分析するプロセスは理解できた。その有効性も実感できた。しかし、これを継続的に、組織のすべての資産に対して、人力で実践することのあまりの困難さに、彼は気づいてしまったのです。
「理屈はわかった。だが、圧倒的に人手が、時間が足りない…!」
まとめ:分析手法の理解と、スケーラビリティの課題
今回の実践編では、実在の脆弱性を例に、CVSSスコアだけに頼らない多角的なリスク分析のプロセスを追体験しました。KEV、EPSS、そして脆弱性の「質」を組み合わせることで、数字の裏に隠れた本当の脅威を見抜けるようになります。
この分析手法を理解することは、現代のセキュリティ担当者にとって不可欠なスキルです。
しかし、それと同時に、鈴木さんが直面した「スケーラビリティの壁」もまた、すべての組織が向き合うべき現実です。優れた分析手法も、それを実行できなければ意味がありません。
では、この「わかってはいるが、できない」というジレンマを、私たちはどう乗り越えればよいのでしょうか。その答えが、ASM+PTaaSのような、人の思考を助け、分析プロセスを自動化してくれる新しいテクノロジーなのです。
※記載された社名、製品名、ロゴマークは各社の商標または商標登録です。