脆弱性の影響範囲

脆弱性の影響範囲 #

脆弱性がシステムに与える影響範囲を評価し、その精度を向上させます。たとえサービスが一般公開されていても、脆弱性の影響範囲が限定されることがあります。例えば、古いブラウザを利用しているユーザーなど、限定された利用者にのみ影響する脆弱性などです。 このような場合、影響範囲が限定されるため、対応の優先度を下げることも可能です。 これらの判断を行うためには、システムの内部仕様を理解することが重要になります。

システムの内部仕様の理解が必要な理由 #

システム設計や構成の理解 #

内部仕様を理解することで、脆弱性がシステムのどの部分に存在し、どのように悪用される可能性があるかをより正確に判断できます。例えば、SQLインジェクションの脆弱性が発見された場合、内部仕様を把握していれば、その脆弱性がどのデータベースに影響を与えるかを正確に判断ができます。

攻撃シナリオの理解 #

内部仕様を把握していると、攻撃者がどのような経路をたどってシステムに侵入し、どのようにして脆弱性を悪用するかを具体的にシミュレーションできます。さらに、そのシナリオの実現可能性も評価することができます。

対応の優先度が上がる場合の例 #

  • 脆弱性が発見されたシステムが、重要なシステムと接続されており、脆弱性の影響が拡大する可能性がある場合。
  • 自社の情報資産が特殊で、一般的な評価では低い評価になっていた場合。

対応の優先度が下がる場合の例 #

  • 攻撃には特定のIPアドレスからのアクセスなど、限定された条件が必要なため、攻撃の成功率が低い場合。
  • システムにWAFなどの対策が導入されており、脆弱性を防ぐことができる場合。
  • IDS/IPSによって攻撃が即座に検知され、即座に対応可能な場合。