トリアージで決めるべきこと #
収集した脆弱性情報を効率的に対応するためには、統一的なトリアージの対応基準を設定することが重要です。 トリアージの対応基準軸として、対象資産の重要度と脆弱性の危険度を基に対応優先度を決定できるようにしましょう。
対応優先度 = 対象資産の重要度 × 脆弱性の危険度
対象資産の重要度と脆弱性の危険度については、対象の重要度評価と脆弱性の危険度評価に記載していますので、そちらをご確認ください。
対応優先度の区分は、過度に複雑化すると管理や運用が難しくなり、単純すぎると適切なトリアージが困難になるため、3,4段階程度の区分に分けることをお勧めします。それぞれの区分に応じた対応要否と対応期限を決めるようにしましょう。 対応の要否と期限の決め方については、対応の要否と期限を決めるに記載していますので、そちらをご確認ください。
対象の重要度評価 #
脆弱性の評価が完了したら、次に資産の重要度を評価します。 まずは重要度の評価基準の選定をするところから始めると良いでしょう。 顧客情報や機密性の高い情報が侵害された場合のビジネスインパクトを検討し、対象システムが扱う情報資産の重要度に基づき対策の優先度を設定します。 以下は、評価分類の一例です。
資産の種類に基づく分類
- 重要度高: 金融データ、顧客情報、特許性を有する製品や技術情報
- 重要度中: 業務データ、従業員の勤怠情報
- 重要度低: ホームページ等で、既に公開されている情報
影響度の規模に基づく分類: サービス利用者の規模に応じて重要度を決定します。
- 重要度高: 利用者数1万人以上
- 重要度中: 利用者数1000人以上
- 重要度低: 利用者数1000人未満
利用者層に基づく分類
- 重要度高: 官公庁利用者(政府調達等)
- 重要度中: 技術者、システム管理者、企業の担当者
- 重要度低: 一般の利用者(BtoCのサービス等)
上記の分類以外でも、改竄や外部漏洩が企業の存続に深刻な危険をもたらす情報があれば、その情報を高い重要度で扱うことが推奨されます。 また、組織がISMS(ISO27001)認証を受けている場合には、情報資産を管理している台帳の重要度評価を採用することも効果的です。
脆弱性の危険度評価 #
見つかった脆弱性について、脆弱性の危険度を確認し、対応の緊急性を評価する基準を設けます。最初はCVSS基本値のみを参考にしても構いません。
評価方針の設定
- 脆弱性の危険度評価のために、CVSS基本値や脆弱性診断事業者が提供する危険度評価を参考し、各評価を基に脆弱性の緊急度を分類します。
- また、例えばCVSSでは「攻撃元区分」「攻撃条件の複雑さ」「攻撃前の認証要否」など、複数の要素を元に最終的な値が算出されますが、特に重視する項目があれば基準の一つとしても良いでしょう。
危険度評価の定義例 (3段階の場合の例)
- 高・・・CVSSが7.0 - 10.0
- 中・・・CVSSが4.0 - 6.9
- 低・・・CVSSが0.0 - 3.9
危険度評価の定義例 (4段階の場合の例)
- Critical, High, Medium, Low ※3段階の場合と同様、それぞれの段階で定義を記載する
CVSSのみで危険度を評価するのは専門知識がない人でもできる単純な方法ですが、実際の攻撃リスクと乖離する可能性があります。 2章以降では、専門的な知識を活用して脆弱性の危険度や影響範囲をより正確に評価する方法を紹介します。
対応の優先度を評価 #
脆弱性の危険度評価と対象の重要度評価から、優先度マトリックスを作成して対応の優先度を決めます。この表は、危険度を縦軸に、重要度を横軸に配置し、優先度を評価するための基盤となります。以下は優先度マトリックスの例です。ただし、優先度評価のカテゴリーは、プロジェクトに合わせて調整されます。
優先度マトリックスの例
| 重要度高 | 重要度中 | 重要度低 | |
|---|---|---|---|
| 危険度高 | 優先度緊急 | 優先度高 | 優先度中 |
| 危険度中 | 優先度高 | 優先度中 | 優先度低 |
| 危険度低 | 優先度中 | 優先度低 | 優先度低 |
この優先度マトリックスを使用して、プロジェクトにおける脆弱性の対応を適切に評価し、適切な対策を講じるための指針を提供します。