従って、これらの脆弱性に対応するには、リスクと効率を十分に考慮する必要がある。セキュリティホールを修正することが費用対効果の上で難しければ、企業が対応できる可能性は低くなる。そして、脆弱性の数がこれほど多くなると、すべての脆弱性に対応するのは、一部の脆弱性だけに無作為に対応していくのと同じくらい非効率だ。
修正する範囲が狭すぎても広すぎてもうまくいかないため、脆弱性の管理では、重要な領域だけを適切に選んで対応する必要がある。
研究者らは、よく採用されている15種類の対応戦略と、脆弱性を無作為に選んで解決する手法を比較した。調査によれば、現在採用されている、脆弱性に優先順位を付けて修正するアプローチの多くは、セキュリティホールを無作為に修正していくのとほぼ同じか、それ以下の効果しかないという。
レポートでは「従って、効果的な脆弱性管理には、カバーする範囲(重要な問題はすべて修正する)と効率(重要でないものは後回しにするか、優先順位を下げる)という、2つの相反する目標のバランスが必要となる」と述べられている。「これが、対応の優先順位を決める際にもっとも難しい点だ」
Kenna SecuirtyとCyentia Instituteは、アナリティクスと機械学習に基づく予測モデルによって、このバランスを維持しながら、IT部門がどの脆弱性に注力すべきかを提示できるソリューションが可能になるかもしれないと述べている。
研究者らは、CVEの記録を無作為に選ばれた2つのグループに分け、1つめのグループのデータセットをさまざまな変数を用いた予測モデルの作成に使い、2つ目のグループを作成したモデルの評価に使用した。
このシステムには、CVSSスコア、ベンダーの間での製品の人気、キーワードやフレーズなどを始めとする、多くの変数が導入された。CVSSスコアとベンダーのカテゴリは、それだけではリスクの指標として十分に機能しなかったが、すべての変数を評価に加えると、効率とカバーする範囲の両方で最善の結果が得られた。
「企業のセキュリティチームやそのリーダーの成功や失敗を評価し、追跡し、修正するためには、単に修正した脆弱性の件数を数えるのではなく、リスクとそのリスクを減らすために必要な作業の影響を正確に定量化できる指標を使用すべきだ」とレポートにはある。「包括的で統合された指標があれば、企業が対応戦略の効果を、かけた手間ではなく、全体に対する影響に基づいて理解できる」
しかし、すべての脆弱性が(そしてすべての企業が)平等に作られているわけではない。中小企業や大企業などの条件によって、異なるモデルを作成した方がよい可能性もある。
例えば、リソースが限られている中小企業のためには、悪用される可能性が高いCVEに重点を置いたモデルを作る一方、効率よりもカバーする範囲を広げることに重点を置いたモデルを作ることや、その逆も考えられるだろう。
Kenna Secuirtyの最高経営責任者(CEO)Karim Toubba氏は、「効果的に対応できるかどうかは、どの脆弱性に対応が必要で、どれの優先順位が高いかを素早く判断できるかどうかにかかっているが、脆弱性の管理においては、優先順位の決定は依然としてもっとも大きな課題の1つだ」と述べている。「今回の調査は、よく使われている脆弱性対応戦略が、サイコロを振っているのとあまり変わらない効果しかないことを示しており、企業は効果的にサイバー脅威に対応することができていない」
同氏はさらに、「最新のデータサイエンスに基づく予測モデルは、より効果的で、手間が少なくて済み、攻撃対象となり得る要素をよりよくカバーすることができる」と付け加えている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。