2章 トリアージの精度向上 #

第1章では、基本的な判断基準を提示しましたが、これらの基準は専門知識がない人でも使えるように設計されているため、実際の攻撃リスクとの乖離が生じる可能性があります。
この章では、専門的な知識を活用して脆弱性の危険度や影響範囲をより正確に評価する方法を紹介します。

第1章では対応の優先度を「対象の重要度」と「脆弱性の危険度」で決定しましたが、正確なリスク判定を行うためには、実際に攻撃される可能性やビジネスへの影響といった要素も考慮する必要があります。

ベンダーのCVSSなどの評価は、一般的な観点から行われているため、組織固有の状況に合わないことがあります。したがって、組織の状況に合わせて評価を調整する必要があります。

精度向上のために考慮するポイント #

正確なリスク判定のために、以下の点を考慮するべきでしょう。

• 脆弱性の影響範囲
• 脆弱性の前提条件
• Exploitの流通状況
• Exploitの実現性

これらの要素を考慮した結果、対応の優先度が変わることもあります。

本章では、正確なリスク判定を行う方法を説明しますが、状況によっては正確さよりも迅速なリスク判定が求められる場合もあります。また、担当者のセキュリティ成熟度や専門性などによって、リスク判定に掛かる時間は異なることがあります。
そのため本章で紹介する方法については、組織やシステムに合わせて取り入れるかどうかを検討してください。