修正コストについて #

実際にトリアージした脆弱性を対策しようとする際に、脆弱性を修正する際のコストがどの程度であるかを把握する必要があるでしょう。
脆弱性を対策するためにはどのような作業が必要となるかや発生する影響などを確認しましょう。

• 部分的なソースコードの修正のみ
• 一部の設定変更で対応可能
• バージョンアップやパッチ適用が必要
• 大規模な設計見直しが必要
• サービスの停止を伴う

なお、諸事情によって脆弱性の根本対策が難しい場合があります。
例えば、ライブラリの依存関係が動作に影響を及ぼす場合には、バージョンアップでの対策が難しい場合が考えられます。
上記のように脆弱性の根本対策が困難である場合には、後述する例外的対策の実施を検討しましょう。

また、修正コストを算出する場合には以下のような観点も考慮する必要があります。

• 社内リソースで対応可能か、外注費用が必要となるか
• 修正後のテストにて発生するコストについて

もし、修正コストが膨大にかかりそうなことが判明した場合には、対策をどのように進めるべきかについて別途検討する必要があるでしょう。
致命的な脆弱性の場合には、修正コストがかかったとしても対応を実施しなければならない場合もあります。
その際には、対象の脆弱性の影響が事業にどの程度影響を及ぼすか判断する必要があります。
システム的な影響以外にも、企業のブランドイメージや評判への影響なども考慮すべきでしょう。

• 監督官庁・業界団体のガイドラインへの違反による影響
• 評判、ブランド、イメージの悪化による影響
  • 重要な取引先の損失
  • ブランドの失墜

脆弱性の修正コストが、経済的な損失を大きく上回る場合は、脆弱性を修正しないビジネス上の決断を行う場合もあります。
リスクの受容や回避など重要なリスクの対応方針の決定は、経営層が判断する必要があります。

• 修正コストや経済的な影響の判断例
  • 脆弱性の修正コストが過大な場合、保険的な対策を行い経済的な損失を抑えリスクの一部を低減する
  • 経済的な損失が小さく、脆弱性の修正コストが経済的な損失を上回る場合リスクを許容する
  • 脆弱性がある機能やシステムのみ停止しリスクを回避する
  • 影響は大きいが発生確率が低い場合、保険に入りリスクを移転する