脆弱性の影響範囲 #
脆弱性がシステムに与える影響範囲を評価し、その精度を向上させます。たとえサービスが一般公開されていても、脆弱性の影響範囲が限定されることがあります。例えば、古いブラウザを利用しているユーザーなど、限定された利用者にのみ影響する脆弱性などです。 このような場合、影響範囲が限定されるため、対応の優先度を下げることも可能です。 これらの判断を行うためには、システムの内部仕様を理解することが重要になります。
システムの内部仕様の理解が必要な理由 #
システム設計や構成の理解 #
内部仕様を理解することで、脆弱性がシステムのどの部分に存在し、どのように悪用される可能性があるかをより正確に判断できます。例えば、SQLインジェクションの脆弱性が発見された場合、内部仕様を把握していれば、その脆弱性がどのデータベースに影響を与えるかを正確に判断ができます。
攻撃シナリオの理解 #
内部仕様を把握していると、攻撃者がどのような経路をたどってシステムに侵入し、どのようにして脆弱性を悪用するかを具体的にシミュレーションできます。さらに、そのシナリオの実現可能性も評価することができます。
対応の優先度が上がる場合の例 #
- 脆弱性が発見されたシステムが、重要なシステムと接続されており、脆弱性の影響が拡大する可能性がある場合。
- 自社の情報資産が特殊で、一般的な評価では低い評価になっていた場合。
対応の優先度が下がる場合の例 #
- 攻撃には特定のIPアドレスからのアクセスなど、限定された条件が必要なため、攻撃の成功率が低い場合。
- システムにWAFなどの対策が導入されており、脆弱性を防ぐことができる場合。
- IDS/IPSによって攻撃が即座に検知され、即座に対応可能な場合。