ソフトウェアの脆弱性は、 ダークネットエクスポージャ、 不十分な情報セキュリティポリシーや認識不足と共に、 サイバーリスクの複雑かつ重要な要素の1つです。 脆弱性はCVE(Common Vulnerabilities and Exposures) と呼ばれるパブリックインベントリでインデックス付けされており、 脆弱性ごとにキー値(CVE-2022-1234など) と説明が記載されています。 通常は脆弱性自体を CVE と呼びます。
既知の脆弱性が多数存在し、 長年の間に数も増えました。 2001年には新規登録された CVE の数は1,677でしたが、2011年には4,155に増えました(10年間で247.7%の増加)。そして2021年にはさらに20,169に増えました(10年間で485.4%の増加)。したがって回避と修復の優先度判定が必要です。この課題は社内のITスタッフ、CISO、サイバーセキュリティ問題に関わるすべての人に関係があります。FIRSTの発表では「企業は毎月修正できているのは既知の脆弱性のうち5%~20%で、公開されている脆弱性のうち実際にエクスプロイトされているのはごくわずか(2%~7%)」だということがわかっています。
各 CVE の重要性、リソースや機能との関連性、エクスプロイトの可能性を現実的に分析する能力は、 CISO による脆弱性の適切な優先処理に不可欠です。また、サイバー保険の観点からも、クライアント様のサイバーリスクを正確に査定するために重要です。
CVE 専用のスコアリングシステムはいくつかあります。最もよく知られているのが CVSS ですが、他にもいくつかあまり知られていないシステムがあります。これらのシステムとその機能について確認してみましょう。