Ofri Ouzan、セキュリティリサーチャー & アドボケート、JFrogセキュリティ
2025年8月7日
読了時間:3分
_Borka_Kiss_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "The letters CVE in white on a black band over a purple background that kind of looks like a circuit board")
出典:Borka Kiss(Alamy Stock Photoより)
論評
今日のソフトウェアサプライチェーンは、新たな脆弱性が記録的なペースで出現する中、絶え間ない圧力にさらされています。2024年だけでも、33,000件以上の新たな共通脆弱性識別子(CVE)が報告されました。この膨大な脅威の数は、セキュリティチームや開発者を疲弊させ、本来の業務と並行して、どの脅威に即座に対応すべきかを選別せざるを得ない状況に追い込んでいます。
これらの脆弱性の多くは、表面上は重大に見えるかもしれませんが、詳しく調べると実際は異なる場合が多いのです。実際、最近の調査では、政府機関によって「重大」と判断されたCVEのうち、わずか12%しか本当にその深刻度評価に値しないことが判明しました。
このギャップは、サイバーセキュリティ業界が直面している課題の拡大を浮き彫りにしています。MITREなどの確立されたCVEスコアリングシステムは有用な基準を提供しますが、各組織の環境に固有の文脈を考慮できていないことが多いのです。その結果、理論上のリスクにばかり目が向き、本当の脅威が見落とされるリスクがあります。
例えば、CVE-2024-45490を考えてみましょう。これは広く使われているソフトウェアツールの脆弱性で、CVSSスコア9.8を受けました。「重大」と評価されましたが、詳細な分析と文脈を踏まえると、実際のアプリケーションの10%でしか該当しません。この脆弱性を悪用するには、開発者にとって非常に特殊で起こりにくい条件が必要であり、現実世界での悪用は極めて考えにくいのです。
CVEを評価するチームにより明確な判断基準をもたらすためには、セキュリティリーダーが必要な文脈分析を伴う評価のチェック&バランス体制を整えるべきです。このアプローチにより、リスクの低い脆弱性に惑わされることなく、リソースを最も緊急性の高いセキュリティ課題に集中させることができます。
すべてのCVE評価が見た目通りとは限らない
2024年に公開された140件の注目度の高いCVEを最近分析したところ、「重大」とされたCVEの88%、「高」とされたCVEの57%が、CVSSスコアが示すほど深刻ではないことが判明しました。実際に本当に悪用されやすいと判断されたCVEは27件(全体の15%)のみでした。
これは、CVEの現実世界での文脈を評価する重要性を示しています。この情報がなければ、誤った分類によってアラート疲れが生じ、生産性や士気が低下し、人為的ミスのリスクが高まり、場合によっては脆弱性そのものよりも大きな被害を招くことがあります。
CVEの悪用可能性、特定環境での露出度、ビジネスへの影響などの要素を考慮することで、どの脆弱性に即時対応が必要か、より的確な判断ができるようになります。
開発者とセキュリティチームへの影響
絶え間なく押し寄せるセキュリティ警告やCVEの公開情報により、本当の脅威と緊急性の低い問題を見分けることがますます困難になっています。この膨大なアラートの量は、時間とともに集中力を奪い、燃え尽き症候群や対応の遅れ、危険なミスの増加につながります。攻撃者がより巧妙になる中、重大な問題が見逃されるリスクはさらに高まっています。
この疲弊の大きな要因は、誤検知(フォールスポジティブ)の多発です。セキュリティツールが安全なコードを脆弱と誤って警告した場合でも、アナリストは本当の脅威でないことを確認するために調査を行わなければなりません。新機能の開発や既存製品の改善に集中する代わりに、開発者もまた、多くが重要でないセキュリティ通知への対応に追われることがよくあります。
最終的に、脆弱性疲労はセキュリティチームや開発者の有効性を損なうだけでなく、組織全体を深刻なセキュリティインシデントのリスクにさらします。この悪循環を断ち切るには、チームが本当に重要なことに集中できるよう、よりスマートで文脈重視の優先順位付けが必要です。
CVEへのアプローチを変えるべき理由
CVEやその他のソフトウェアサプライチェーンに関わる脅威が増え続ける中、組織は表面的な評価を超え、各脆弱性の文脈を分析した上で対応を急ぐ必要があります。文脈を考慮することで、脆弱性の脅威度に対する認識が大きく変わることがあります。単独で見ると緊急に思えるものも、現実世界ではリスクが低い場合があるのです。
より微妙で文脈重視のアプローチを採用することで、セキュリティチームは本当に重要な脆弱性に集中でき、新たな脆弱性が公開されるたびに右往左往することがなくなります。
さらに、文脈を考慮した戦略は、技術部門とビジネス部門のステークホルダー間のコミュニケーションを円滑にし、セキュリティの優先順位を組織の目標と一致させることができます。より適切な意思決定の機会を創出することで、組織は全体的なレジリエンスを強化し、イノベーションや生産性を損なうことなく、新たな脅威への適応力を維持できます。