この記事でわかること
本記事では、多くの企業が陥っている「CVSSスコア至上主義」の限界と、終わらない脆弱性対応の根本原因を解説します。そして、形骸化した対応から脱却し、KEV、EPSS、SSVCといった新しい評価軸を用いて、真にビジネスを守るための「リスクベース脆弱性管理」への具体的なステップを詳細に解説します。
シーン1:鳴りやまないアラートと、指数関数的に増える脆弱性
「また脆弱性対応か…」
情シスの鈴木さんは、うんざりした顔でPC画面に表示されたアラートのリストを眺めています。セキュリティ強化のために導入した脆弱性診断ツールは、今日もご丁寧に大量のCVE(共通脆弱性識別子)を吐き出していました。
「先週、ようやくクリティカルな脆弱性のパッチを当てきったと思ったのに、もう新しいのが出てる。そもそも、このリストにある資産って、全部うちの会社のやつで合ってるんだっけ…?先月、開発部門がテストで使ってたクラウドサーバー、まだ動いてたりしないよな…」
鈴木さんのような悩みは、多くの情報システム担当者が抱える共通の痛みです。それもそのはず。脆弱性情報の公開件数は、もはや人力で追える限界をとうに超えています。
米国立標準技術研究所(NIST)の脆弱性データベース(NVD)に登録されたCVEは、2023年に約3万件でしたが、2024年には4万件を超え、2025年には5万件に達するとの予測も出ています。これは、数年前とは比較にならないペースで脅威が増加していることを意味します。
これらすべてを把握し、自社への影響を調査し、優先順位をつけ、対応する…というのは、リソースが限られた中ではまさに「無理ゲー」と言えるでしょう。
CVSSスコアという“便利な誤解”とその危険性
増え続けるCVEの洪水に立ち向かうため、多くの担当者が頼りにしているのがCVSS(共通脆弱性評価システム)のスコアです。脆弱性の深刻度を「0.0」から「10.0」の数値で示してくれるため、「スコア7.0以上を優先対応」といったルールを設けている企業は少なくありません。
しかし、その“常識”にこそ、現代のセキュリティ対策の落とし穴が潜んでいます。
【基礎知識】CVSS (Common Vulnerability Scoring System) とは?
CVSSは、脆弱性の技術的な特性を評価し、その深刻度を標準化された手法で示すためのフレームワークです。評価は主に3つの基準群で行われます。
- 基本評価基準 (Base Metrics): 脆弱性そのものの固有の特性を評価します。「攻撃元区分(AV)」や「攻撃条件の複雑さ(AC)」など、時間や環境で変化しない静的な評価です。私たちが普段目にする「CVSSスコア」は、主にこの基本スコアを指します。
- 脅威評価基準 (Threat Metrics): 脆弱性の悪用状況など、時間と共に変化する動的な要素を評価します。「攻撃コードの成熟度(E)」などが含まれますが、この情報は常に最新とは限りません。
- 環境評価基準 (Environmental Metrics): 脆弱性が存在する特定のIT環境における影響度を評価します。「機密性・完全性・可用性の要求度(CR, IR, AR)」など、組織ごとのビジネスコンテキストを反映させるための項目です。しかし、この評価をすべての資産に対して正確に行うのは非常に困難です。
問題点: 多くの現場では、最も手軽に取得できる「基本スコア」のみで優先順位を判断してしまっています。これは、脆弱性の「潜在的な危険性」を見ているだけで、「現実の脅威」や「自社へのビジネスインパクト」を全く考慮できていない状態なのです。
CVSSスコアは、あくまで脆弱性の「技術的な深刻度」を示すモノサシであり、「ビジネスリスクの大きさ」を示すものではありません。スコアが9.8でも、インターネットから隔離されたシステム内の脆弱性であれば、すぐに対応する必要はないかもしれません。逆にスコアが4.0でも、攻撃が容易で、すでに攻撃コードが出回り、自社の顧客情報に直結するサーバーの脆弱性であれば、最優先で対処すべきです。
スコアだけを信じて機械的に対応していると、リソースを重要度の低い脆弱性に浪費し、本当に危険な“時限爆弾”を見過ごしてしまう危険性があるのです。
スコア依存からの脱却:3つの新常識「KEV」「EPSS」「SSVC」
では、どうすればCVSSスコアへの依存から脱却し、”本当に危険な脆弱性”を見極めることができるのでしょうか。その答えが、近年セキュリティ業界で重要視されている3つの指標、「KEV」「EPSS」「SSVC」です。これらは、CVSSを補完し、より現実的なリスク評価を可能にするための強力なツールです。
1. KEV (Known Exploited Vulnerabilities Catalog) – 「すでに悪用されているか?」を知る
KEVは、「実際に攻撃者に悪用されていることが確認された脆弱性」のリストです。米国のサイバーセキュリティ・社会基盤安全保障庁(CISA)が公開しており、日々更新されています。
「膨大な脆弱性リストの中で、どれが一番危ないかって?そりゃ、もう泥棒に入られてる家が一番危ないに決まってるだろ?」
まさにその通りで、KEVに登録されている脆弱性は、「机上の空論ではなく、現実世界で攻撃が発生している」という、極めて重要な事実を示しています。もし自社の資産にKEV登録の脆弱性が見つかった場合、それはCVSSスコアの高低にかかわらず、最優先で対応すべき”燃えている案件”と判断できます。
【実践】KEVの使い方
KEVの活用は非常にシンプルです。
- CISAのWebサイトでKEVカタログをダウンロード、またはAPI経由で取得します。
- 自社で利用しているソフトウェアや製品に、KEVにリストアップされているCVEが存在するかどうかを突合します。
- 該当する脆弱性が見つかった場合、CISAが推奨する対応期日(Due Date)を参考に、即座に対応計画を策定・実行します。
ポイント: KEVは「答え」を教えてくれるリストです。CVSSスコアが低くても、KEVに載っていれば問答無用で「高リスク」と判断すべきです。脆弱性対応の最初のフィルターとして、極めて有効です。
2. EPSS (Exploit Prediction Scoring System) – 「これから悪用されそうか?」を予測する
EPSSは、「ある脆弱性が、今後30日以内に悪用される確率」を予測するスコアです。FIRST.orgが提供しており、0%から100%(0.0〜1.0)の値で示されます。
KEVが「過去〜現在」の脅威を示すのに対し、EPSSは「近い未来」の脅威を予測します。機械学習モデルを用いて、世界中の膨大な脆弱性・攻撃情報を分析し、「攻撃者が次に何を狙いそうか」を確率として提示してくれるのです。
【実践】EPSSの使い方
EPSSのスコアは、脆弱性の「将来性」を判断する材料です。
- EPSSの公式サイトから、特定のCVEに対するスコアを検索、または全データをダウンロードします。
- 自社の脆弱性リストと突合し、各脆弱性にEPSSスコアを付与します。
- CVSSスコアは低いがEPSSスコアが高い脆弱性など、「今は静かだが、将来危険になりそうな脆弱性」を特定し、対応の優先度を引き上げます。
ポイント: EPSSは「CVSSスコアが高いから危険」という単純な判断から一歩進み、「CVSSスコアは低いが、攻撃者に狙われやすいから危険」という、よりインテリジェントな優先順位付けを可能にします。
3. SSVC (Stakeholder-Specific Vulnerability Categorization) – 「我々はどうすべきか?」を決定する
SSVCは、脆弱性に対して具体的なアクションを決定するための、意思決定フレームワークです。CISAやカーネギーメロン大学の論文を元に開発されました。
SSVCの最大の特徴は、評価を行う人の役割、つまり意思ステークホルダー意思に応じて、判断基準となる決定木(ディシジョンツリー)とアクションが異なる点です。
| ステークホルダー | 説明 |
|---|---|
| デプロイヤー (Deployer) | パッチを適用する組織。自社のシステムを運用する多くの企業が該当します。 |
| サプライヤー (Supplier) | パッチを提供する組織。ソフトウェアや機器のベンダーが該当します。 |
| コーディネーター (Coordinator) | 脆弱性情報を調整・統制する組織。CSIRTなどが該当します。 |
この記事の読者の多くは「デプロイヤー」に該当するため、以降はデプロイヤーの視点に絞って解説します。
【デプロイヤー向け】SSVCの判断基準とアクション
デプロイヤーは、主に以下の4つの項目を評価し、ディシジョンツリーに従って判断を下します。
| 分岐項目 | 説明 |
|---|---|
| Exploitation | 攻撃実績(KEVの情報)や、PoC(実証コード)の有無を評価します。 |
| Exposure | 脆弱性のあるシステムが、どの程度攻撃者に晒されているか(例:インターネットに直接公開されているか)を評価します。 |
| Utility | 攻撃の容易さや、攻撃が成功した場合の有用性(例:管理者権限を奪えるか)を評価します。 |
| Mission Impact | 攻撃が成功した場合のビジネスへの影響(事業停止、情報漏洩など)の大きさを評価します。 |
これらの評価を経て、最終的に以下の4つの具体的なアクションのいずれかが導き出されます。
| 優先度(アクション) | 説明 |
|---|---|
| Immediate (即時対応) | 利用可能な全リソースを投入し、可能な限り迅速に対応します。通常業務の一時停止も視野に入れます。 |
| Out-of-cycle (定例外対応) | 通常のメンテナンスサイクルを待たず、迅速に対応します。 |
| Scheduled (定例対応) | 次回の定期的なメンテナンスウィンドウ内で対応します。 |
| Defer (延期) | 現時点では対応しません。ただし、状況は継続的に監視します。 |
SSVC運用のポイント:判断基準の事前合意
重要なのは、特に「Exposure」や「Mission Impact」といった環境に依存する項目の評価基準を、事前に組織内で明確に定義し、合意しておくことです。「どのシステムが最重要か」「“影響が甚大”とは具体的に何を指すのか」といった基準が曖昧だと、担当者によって判断がブレてしまい、SSVCの運用は破綻します。迅速かつ一貫した判断のためには、事前の準備が不可欠です。
現実解としての「ASM + PTaaS」というアプローチ
KEV、EPSS、SSVC。これらを組み合わせることで、脆弱性対応は劇的に高度化します。しかし、ここで新たな課題が生まれます。
「なるほど、理屈はわかった。でも、うちにある数千の資産すべてに対して、毎日更新されるKEVやEPSSの情報を追いかけ、SSVCで評価し続けるなんて、一体どうやれば…?そもそも、うちの資産が全部でいくつあるのかすら、正確に把握できていないのに…」
鈴木さんの嘆きはもっともです。これらの高度なアプローチを手動で、かつ継続的に実践するのは、ほとんどの組織にとって非現実的と言えるでしょう。
そこで登場するのが、ASM(アタックサーフェス・マネジメント)とPTaaS(Penetration Testing as a Service)を組み合わせた、新しいソリューションの考え方です。
- ASM (Attack Surface Management): まず、攻撃者の視点から自社のIT資産を洗い出し、管理下にないサーバーや意図せず公開されているサービスなど、攻撃されうる全ての入り口(アタックサーフェス)を継続的に可視化します。これが全ての土台となります。
- PTaaS (Penetration Testing as a Service): 次に、可視化されたアタックサーフェスに対して、脆弱性スキャンだけでなく、ホワイトハッカーによる擬似的な攻撃(ペネトレーションテスト)を継続的に実施します。重要なのは、このプラットフォームがKEV、EPSSといった外部の脅威インテリジェンスを自動で取り込み、専門家(ホワイトハッカー)がビジネスコンテキストを理解した上でSSVCのような評価を行い、本当に危険な脆弱性だけを報告してくれる点です。
この組み合わせにより、担当者は「どの指標を見ればいいのか」と悩む必要がなくなります。プラットフォームが、膨大な情報の中から「今、ビジネスにとって本当に危険な穴」だけを、具体的な対策案と共に提示してくれるのです。
弊社が提供する「BreachRisk」のようなサイバーリスク監視ソリューションは、まさにこのASMとPTaaSの考え方を具現化したものです。担当者を煩雑な分析作業から解放し、「リスクの評価」ではなく、本来の目的である「リスクの低減」に集中させてくれます。
まとめ:スコア信仰からの脱却
脆弱性対応の現場は、長らくCVSSスコアという一見便利な指標に振り回されてきました。しかし、公開される脆弱性が爆発的に増加し続ける今、そのアプローチは限界を迎えています。
「今、悪用されているか?(KEV)」
「これから悪用されそうか?(EPSS)」
「我々はどうすべきか?(SSVC)」
これらの新しい指標は、私たちに「技術的な深刻度」だけでなく、「ビジネス上の現実的なリスク」を直視することを求めます。
もちろん、これらの情報をすべて手動で追いかけるのは困難です。しかし、心配する必要はありません。ASMやPTaaSといった新しいテクノロジーが、その複雑な分析と思考のプロセスを自動化し、私たちが”リスクの主人”として、賢明な意思決定を下すのを助けてくれます。
もう、鳴りやまないアラートに縛られるのはやめにしましょう。自社のビジネスを守るため、本当に価値のある対策にリソースを集中させる。そのための第一歩を、今日から踏み出してみませんか。
弊社が提供する「BreachRisk」の詳細はこちら。
※記載された社名、製品名、ロゴマークは各社の商標または商標登録です。