脆弱性管理を超えて – あなたは私のCVEを見ていますか？

脆弱性のトレッドミル#

脆弱性管理の反応的な性質と、ポリシーやプロセスによる遅延が組み合わさり、セキュリティチームに負担をかけています。キャパシティは限られており、すべてを即座にパッチするのは困難です。私たちの脆弱性オペレーションセンター（VOC）のデータセット分析では、68,500のユニークな顧客資産にわたって1,337,797のユニークな所見（セキュリティ問題）が特定されました。そのうち32,585が異なるCVEであり、10,014がCVSSスコア8以上でした。これらの中で、外部資産には11,605の異なるCVEがあり、内部資産には31,966があります。このCVEの量では、一部が未パッチのまま放置され、妥協に至るのも無理はありません。

なぜ私たちはこの状況に陥っているのか、何ができるのか、そしてより良いアプローチはあるのか？

脆弱性報告の現状、脅威と悪用による脆弱性の優先順位付け、統計的確率の検討、そしてリスクについて簡単に議論します。最後に、管理チームに危機対応の柔軟性を与えながら脆弱性の影響を最小限に抑えるための解決策を考えます。これにより良い印象を与えることができますが、完全なストーリーを知りたい場合は、年次報告書であるセキュリティナビゲーターで見つけることができます。

あなたは私のCVEを見ていますか？#

西洋諸国や組織は、共通脆弱性識別（CVE）と共通脆弱性評価システム（CVSS）を使用して脆弱性を追跡し評価しています。これらはMITREやNISTなどの米国政府資金によるプログラムによって監督されています。2024年9月までに、25年間活動しているCVEプログラムは264,000以上のCVEを公開し、2025年4月15日までに、総CVE数は「拒否」または「延期」を含めて約290,000に増加しました。

NISTの国家脆弱性データベース（NVD）は、CVE番号付与機関（CNA）に依存してCVEを記録し、初期のCVSS評価を行います。これによりプロセスが拡大されますが、バイアスも生じます。重大な脆弱性の開示は、影響、関連性、正確性について研究者とベンダー間の意見の相違により複雑化し、広範なコミュニティに影響を与えます^{[1, 2]}。

2025年4月までに、2024年3月に発生した官僚的遅延により、NVDには24,000以上の未強化CVEのバックログが蓄積されました^{[3, 4]}。CVEの強化が一時的に停止され、脆弱性報告が続く中で、このシステムの脆弱性を劇的に示しました。この一時停止により、まだ解消されていないバックログが生じました。

2025年4月15日、MITREは、米国国土安全保障省がMITREとの契約を更新しないことを発表し、CVEプログラムに直接影響を与えました^[15]。これにより、CVEの将来とサイバーセキュリティ実務者への影響について多くの不確実性が生じました。幸いなことに、強力なコミュニティと業界の反応により、CVEプログラムの資金は延長されました^[16]。

CVEとNVDは、脆弱性インテリジェンスの唯一の情報源ではありません。多くの組織、私たちの組織を含め、MITREのCVEプログラムやNIST NVDよりも多くの脆弱性を追跡する独立した製品を開発しています。

2009年以来、中国は独自の脆弱性データベースCNNVDを運営しています^[5]。これは貴重な技術リソースとなる可能性があります^{[6, 7]}が、政治的障壁により協力は難しいです。さらに、すべての脆弱性が即座に開示されるわけではなく、盲点を生み出し、一部は検出されずに悪用されます—いわゆる0デイです。

2023年、Googleの脅威分析グループ（TAG）とMandiantは、主にモバイルデバイス、オペレーティングシステム、ブラウザ、その他のアプリケーションに影響を与える97のゼロデイエクスプロイトを特定しました。一方、CVE辞書の脆弱性の約6％しか悪用されたことがなく^[8]、2022年の調査では、組織の半数が毎月15.5％以下の脆弱性しかパッチしていないことが示されています^[9]。

CVEはセキュリティ管理者にとって重要ですが、完璧ではなく、ボランティアベースのシステムであり、世界的に規制されていないし、普遍的に採用されていません。

このブログは、日常業務での依存を減らす方法についても探求することを目的としています。

脅威に基づく情報#

その欠点にもかかわらず、CVEシステムはセキュリティに影響を与える可能性のある脆弱性に関する貴重なインテリジェンスを提供します。しかし、多くのCVEに対処する必要があるため、脅威アクターによって悪用される可能性が最も高いものを優先する必要があります。

インシデントレスポンスとセキュリティチームのフォーラム（FIRST）SIGによって開発されたエクスプロイト予測スコアリングシステム（EPSS）は、脆弱性が野外で悪用される可能性を予測するのに役立ちます。EPSSインテリジェンスを使用することで、セキュリティ管理者は、広範なカバレッジを得るためにできるだけ多くのCVEをパッチするか、効率を最大化し悪用を防ぐために重要な脆弱性に焦点を当てるかを選択できます。どちらのアプローチにも長所と短所があります。

カバレッジと効率のトレードオフを示すために、潜在的なパッチを表すデータセット（VOCデータセット）と、CISA KEV^[10]、倫理的ハッキングの所見、CERT脆弱性インテリジェンスウォッチサービス^[12]からのデータを含む、積極的に悪用されている脆弱性を表す別のデータセットが必要です。

セキュリティナビゲーター2025が登場 – 今すぐダウンロード#

新しくリリースされたセキュリティナビゲーター2025は、現在のデジタル脅威に関する重要な洞察を提供し、135,225件のインシデントと20,706件の確認された侵害を文書化しています。単なる報告書ではなく、安全なデジタル環境をナビゲートするためのガイドとして機能します。

内容は？##

📈 詳細分析: CyberSOC、脆弱性スキャン、ペンテスティング、CERT、Cy-X、ダークネット監視からのランサムウェア観察の統計。
🔮 未来への準備: セキュリティ予測と現場からのストーリーで自分を装備。
👁️ セキュリティの深掘り: ハクティビスト活動やLLM/生成AIに関連する新たなトレンドについてのブリーフィングを受ける。

サイバーセキュリティで一歩先を行きましょう。あなたの必須ガイドが待っています！

🔗 今すぐコピーを入手

EPSSのしきい値は、野外で悪用される可能性に基づいてパッチを適用するCVEのセットを選択するために使用されます。修復セットと悪用された脆弱性セットの重複を使用して、選択された戦略の効率、カバレッジ、努力を計算できます。

EPSSは、特定のシステムではなく、野外で脆弱性が悪用される可能性を予測します。しかし、確率は「スケール」できます。たとえば、1枚のコインを投げると表が出る確率は50％ですが、10枚のコインを投げると少なくとも1枚の表が出る確率は99.9％に上昇します。このスケーリングは補完ルールを使用して計算され、失敗の可能性を1から引くことで望ましい結果の確率を見つけます^[13]。

FIRSTが説明するように、「EPSSは特定の脆弱性が悪用される確率を予測し、サーバー、サブネット、または企業全体にわたる脅威を推定するためにスケールできます。」^{[14, 15]}

EPSSを使用して、リストから少なくとも1つの脆弱性が悪用される可能性を補完ルールを使用して同様に計算できます。

例を示すために、公共行政部門のクライアントのVOCスキャンデータから397の脆弱性を分析しました。以下のチャートが示すように、ほとんどの脆弱性は位置276で急上昇するまで低いEPSSスコアを持っていました。また、チャートには補完ルールを使用したスケーリングされた悪用の確率が示されており、最初の264の脆弱性のみを考慮した場合に実質的に100％に達します。

チャートの左側にあるスケーリングされたEPSS曲線が示すように、考慮されるCVEが増えるにつれて、野外でそれらのうちの1つが悪用されるスケーリングされた確率が非常に急速に増加します。265の異なるCVEが考慮される時点で、野外でそれらのうちの1つが悪用される確率は99％を超えています。このレベルは、個々の高いEPSSを持つ脆弱性が考慮される前に達成されます。スケーリングされたEPSS値が99％を超えると（位置260）、最大EPSSはまだ11％未満（0.11）です。

インターネットに公開された脆弱性に関する実際のクライアントデータに基づくこの例は、システムの数が増えるにつれて脆弱性の優先順位付けがどれほど難しくなるかを示しています。

EPSSは、野外で脆弱性が悪用される可能性を示すものであり、防御者にとって役立ちますが、複数の脆弱性が関与する場合、この確率がどれほど急速にスケールするかを示しました。十分な脆弱性があると、個々のEPSSスコアが低くても、1つが悪用される実際の確率があります。

天気予報が「雨の可能性」を予測するように、エリアが大きいほど、どこかで雨が降る可能性が高くなります。同様に、悪用の確率をゼロに近づけることはおそらく不可能です。

攻撃者の確率#

脆弱性管理プロセスの検討に組み込むべき3つの重要な真実を特定しました：

攻撃者は特定の脆弱性に焦点を当てているわけではなく、システムを妥協しようとしています。
脆弱性の悪用は妥協への唯一の道ではありません。
攻撃者のスキルと粘り強さのレベルは異なります。

これらの要因により、EPSSと確率の分析を拡張し、攻撃者が任意のシステムを妥協する可能性を考慮し、それをスケーリングしてネットワーク内のシステムを妥協する可能性を判断できます。

各ハッカーがシステムを妥協する「確率」を持っていると仮定でき、この確率はスキル、経験、ツール、時間に基づいて増加します。次に、より広範なコンピュータ環境に対する攻撃者の成功を評価するために確率スケーリングを適用し続けることができます。

忍耐強く、検出されないハッカーがいる場合、グラフへのアクセスを許可するシステムを侵害するために統計的に必要な試行回数はどれくらいですか？これに答えるには、この方程式の形で再構築された二項分布を適用する必要があります^{[16, 17]}：

この方程式を使用して、特定のスキルレベルの攻撃者が必要とする試行回数を推定できます。たとえば、攻撃者A1がシステムごとに5％の成功率（20分の1）を持っている場合、成功を99.99％確実にするために最大180のシステムをターゲットにする必要があります。

別の攻撃者A2が10％の成功率（10分の1）を持っている場合、少なくとも1回の成功を確保するために約88のターゲットが必要です。一方、より熟練した攻撃者A3が20％の成功率（5分の1）を持っている場合、同じ確率のために約42のターゲットが必要です。

これらは確率であり、攻撃者は最初の試行で成功するか、期待される成功率に達するために複数の試行が必要になるかもしれません。実際の影響を評価するために、私たちはビジネスのシニアペネトレーションテスターに調査を行い、インターネットに接続された任意のターゲットに対する成功率を約30％と推定しました。

熟練した攻撃者が単一のマシンを妥協する確率が5％から40％であると仮定すると、ほぼ確実に1回の成功を保証するために必要なターゲット数を推定できます。

その影響は驚くべきものであり、わずか100の潜在的なターゲットでさえ、適度に熟練した攻撃者が少なくとも1回は成功することがほぼ確実です。典型的な企業では、この単一の妥協がしばしば広範なネットワークへのアクセスを提供し、企業は通常数千のコンピュータを考慮に入れています。

脆弱性管理の再構築#

将来のために、個々のシステムからの妥協に免疫のある環境とアーキテクチャを考案する必要があります。短期的には、脆弱性管理へのアプローチを変える必要があると主張します。

現在の脆弱性管理のアプローチはその名前に根ざしており、「脆弱性」（CVE、CVSS、EPSS、誤設定、エラーなどで定義される）とその「管理」に焦点を当てています。しかし、CVEの量、速度、重要性を制御することはできず、新しいインテリジェンスに対して常に反応することになります。

EPSSは、野外で悪用される可能性のある脆弱性を優先するのに役立ち、実際の脅威を表し、私たちを反応モードに追い込みます。緩和は脆弱性に対処しますが、私たちの対応は実際には脅威に対抗することに関するものであり、このプロセスは脅威緩和と呼ばれるべきです。

前述のように、単に脆弱性インテリジェンスに反応することで大企業で脅威に効果的に対抗することは統計的に不可能です。リスク削減は私たちができる最善のことです。サイバーリスクは、システムの資産をターゲットにし、脆弱性を利用し、そのような攻撃の潜在的な影響を持つ脅威から生じます。リスクに対処することで、管理と緩和を行うために制御できる領域が増えます。

脅威緩和#

脅威緩和は、脅威を特定し、その関連性を評価し、それらを緩和するための行動を取る動的で継続的なプロセスです。この対応には、パッチ適用、再構成、フィルタリング、補償制御の追加、または脆弱なシステムの削除が含まれる場合があります。EPSSは、他の脅威および脆弱性インテリジェンスの情報源を補完する貴重なツールです。

しかし、確率のスケーリング性により、EPSSは大規模な内部環境ではあまり役に立ちません。EPSSは「野外」で悪用される可能性のある脆弱性に焦点を当てているため、インターネットに直接さらされているシステムに最も適用されます。したがって、脅威緩和の努力は主に外部にさらされたシステムに向けられるべきです。

リスク削減#

サイバーリスクは、脅威、脆弱性、影響の産物です。「脅威」はほとんど制御できませんが、大規模な環境で特定の脆弱性にパッチを当てても、妥協のリスクを大幅に低下させることはできません。したがって、リスク削減は3つの重要な努力に焦点を当てるべきです：

攻撃面の削減: スケールに伴い妥協の確率が増加するため、攻撃面を縮小することで削減できます。優先事項は、管理されていないまたは不要なインターネットに面したシステムを特定し削除することです。
影響の制限: ランバートの法則は、攻撃者が「グラフ」にアクセスし横断する能力を制限することを推奨しています。これは、ネットワーク、権限、アプリケーション、データのすべてのレベルでのセグメンテーションによって達成されます。ゼロトラストアーキテクチャは、この目標のための実用的な参照モデルを提供します。
ベースラインの改善: 報告または発見された特定の脆弱性に焦点を当てるのではなく、全体的な脆弱性の数と深刻度を体系的に削減することで、妥協のリスクを低下させます。このアプローチは、効率と投資収益率を優先し、現在の急性の脅威を無視して長期的なリスク削減を目指します。

脅威緩和をリスク削減から分離することで、特定の脅威に反応する絶え間ないサイクルから解放され、より効率的で戦略的なアプローチに焦点を当て、他の優先事項のためのリソースを解放できます。

効率的なアプローチ#

このアプローチは、リソースを最適化するために体系的に追求できます。焦点は「脆弱性の管理」から、回復力のあるアーキテクチャとベースライン構成の設計、実装、検証に移ります。これらのベースラインがセキュリティによって設定されると、ITがその実装と保守を引き継ぐことができます。

ここでの鍵は、内部システムのパッチ適用の「トリガー」が、システム所有者と合意した新しい承認済みベースラインへのアップグレードを計画することです。このアプローチは、最新の脆弱性を追いかけるよりもはるかに混乱を少なくし、効率的であることが確実です。

脆弱性スキャンは、正確な資産インベントリを作成し、非準拠システムを特定するために重要であり続けます。それは既存の標準化されたプロセスをサポートすることができ、それをトリガーするのではなく。

未来を形作る#

CVE、CVSS、EPSSによって表されるランダムに発見され報告された脆弱性の圧倒的な攻撃は、私たちの人々、プロセス、技術にストレスを与えています。私たちは、20年以上にわたって脆弱性管理に同じ方法で取り組んできましたが、成功は中程度です。

システムの設計、構築、維持方法を再考する時が来ました。

新しい戦略のテンプレート#

2030年以降のセキュリティ戦略を検討するための重要な要素：

ソースから始める
人的要因

人間の強みを活用し、その弱点を予測する。
上級管理職や経営陣のサポートを得る。
ブロッカーではなく、イネーブラーになる。

脅威に基づく意思決定

インシデントから学び、何が悪用されているかに焦点を当てる。
能力に基づいて修復を強化するための戦略を使用する。

脅威モデリングとシミュレーション

脅威モデルを使用して潜在的な攻撃経路を理解する。
倫理的ハッキングを実施して、実際の脅威に対して環境をテストする。

システムアーキテクチャと設計

脅威モデルとシミュレーションを適用して、新しいシステムの仮定を検証する。
攻撃面を体系的に削減する。
既存のシステムをレビューして、防御を強化する。
SASEとゼロトラストを単なる技術ではなく戦略として扱う。

需要/デフォルトによるセキュリティ

正式なポリシーを実施して、セキュリティを企業文化に組み込む。
ベンダーやサプライヤーが積極的なセキュリティ改善プログラムを持っていることを確認する。

これにはもっと多くがあります。これは、セキュリティナビゲーター2025における脆弱性のカバレッジの抜粋に過ぎません。制御を取り戻す方法、異なる業界が私たちの脆弱性スクリーニング操作でどのように比較されるか、生成AIなどの要因がサイバーセキュリティにどのように影響するかについて詳しく知りたい場合は、ダウンロードページにアクセスして、完全なレポートを入手することを強くお勧めします！

注: この記事は、Orange CyberdefenseのシニアセキュリティリサーチャーであるWicus Rossによって専門的に執筆され、寄稿されました。

翻訳元: https://thehackernews.com/2025/05/beyond-vulnerability-management-cves.html