Last Updated on 2024-07-08 07:49 by 門倉 朋宏
サイバーセキュリティとインフラセキュリティ庁(CISA)が2021年に導入した既知の悪用された脆弱性(KEV)リストは、修復時間を速めることが研究で明らかになったが、まだ十分ではない。このリストは、政府機関と企業に最もリスクの高い脆弱性について警告し、優先的に修復するよう促すことを目的としている。KEVリストに追加される脆弱性は、CVEが割り当てられており、野外で悪用されていることが知られ、修復方法が利用可能である必要がある。CISAによる連邦機関への修復期限は、1週間から6ヶ月まで様々であり、ランサムウェアに関連する脆弱性が最も緊急性を持って扱われる。
Bitsightの新しい報告書によると、2023年には35%の組織がKEVを経験し、そのうち66%が複数、25%が5つ以上、10%が10以上のKEVを持っていた。中程度の重大度の脆弱性では修復速度にほとんど差がないが、重大なKEVは非KEVと比べて2.6倍、高重大度のKEVは1.8倍速く修復される。ランサムウェアに利用されるバグは、企業チームの間で修復の優先度が高いとされ、ランサムウェアKEVは平均して非ランサムウェアKEVよりも2.5倍速く修復される。
非営利団体とNGOは修復が最も遅く、技術会社や保険・金融業界が最も速い。連邦機関もCISAの期限をしばしば満たすのに苦労しているが、他のセクターよりも65%速く修復している。KEVリストの脆弱性の約40%が期限までに修復される。
企業がより迅速に修復を進めるためには、企業レベルで効果的な脆弱性管理システムを構築し、KEVリストなどの情報源を使用して脅威に関するコンテキストを収集し、修復率を測定し、遅れに対する責任を持つことが重要である。
【ニュース解説】
サイバーセキュリティとインフラセキリティ庁(CISA)が2021年に導入した既知の悪用された脆弱性(KEV)リストは、政府機関や企業がサイバーセキュリティの脅威に迅速に対応するための重要なツールとなっています。このリストは、実際に悪用されている脆弱性についての情報を提供し、それらを優先的に修復するよう促しています。最近の研究によると、KEVリストに掲載された脆弱性は、そうでないものに比べて修復が速く進むことが明らかになりましたが、依然として修復速度には改善の余地があることが示されています。
このリストの目的は、最もリスクが高いとされる脆弱性に対して迅速な対応を促すことにあります。脆弱性がKEVリストに追加されるためには、CVE(Common Vulnerabilities and Exposures)番号が割り当てられていること、実際に悪用されていることが確認されていること、そして修復方法が存在することが必要です。CISAは連邦機関に対して、ランサムウェアに関連する脆弱性を最も緊急に扱うよう指示しており、修復期限は1週間から6ヶ月とされています。
しかし、実際には多くの組織がこれらの期限を守ることに苦労しており、特に非営利団体やNGOは修復が遅れがちです。一方で、技術会社や保険・金融業界は修復において最も迅速であることが報告されています。連邦機関も期限を守るのに苦労していますが、他のセクターよりも65%速く修復しているとのことです。
このような状況を改善するためには、企業が効果的な脆弱性管理システムを構築し、KEVリストを含む様々な情報源から脅威のコンテキストを収集し、修復率を測定しながら遅れに対して責任を持つことが重要です。KEVリストは、サイバーセキュリティだけでなくビジネスリスクとしても取り扱うべき重要な脆弱性についての情報を提供するため、経営層でも議論されるべき内容です。
この取り組みは、サイバーセキュリティの脅威に対する迅速な対応を促すとともに、組織がリスクをより適切に評価し、優先順位をつけることを支援します。しかし、修復速度の向上にはまだ課題が残っており、組織は脆弱性管理のプロセスを継続的に見直し、改善する必要があります。また、このようなリストの存在は、サイバーセキュリティの規制や基準にも影響を与える可能性があり、将来的にはより厳格な修復期限や要件が設けられるかもしれません。この取り組みは、サイバーセキュリティの脅威に対する全体的な対応能力を高めることに貢献すると期待されています。
