サイバー保険のCVE除外をきっかけに学ぶ脆弱性
はじめに
サイバー保険業界で検討されている「CVE除外条項」が話題になっています。これは、企業が既知の脆弱性(CVE)を適切な期間内に修正しなかった場合、保険会社が侵害時の支払いを制限または拒否できるという条項です。こうした商品が売られ始めたことで、サイバー保険が活発なアメリカで話題になりました。
こういったものが今後根付くのかわかりませんが、実際には脆弱性をすべて塞ぐことは極めて困難です。これを機に脆弱性のことを学んでいきましょう。
目次[非表示]
共通脆弱性識別子CVEなどが提供するスコア
共通脆弱性識別子のCVE(Common Vulnerabilities and Exposures)は発見された脆弱性に対してアメリカ政府の支援を受けた非営利団体のMITRE社が採番している一意の識別子です。1999年に作られました。
脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。CVE識別番号は「CVE-西暦-連番」と構成されており、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成されるCVE Editorial Boardと呼ぶ機関が、報告のあった脆弱性を評価し割り当て作業を行っています。
それらの情報は、CVE識別番号管理サイト(http://cve.mitre.org )から誰でも無料で確認することができます。
また、実はCVE自体は脆弱性を一意に識別するのみで、脆弱性の危険度を占めるスコアは付与しません。リスクの大きさを示すスコアリングは米国国立標準技術研究所(NIST)が運営するNVDの仕組みで行われます。
しかし、普段の業務においては厳密に分けて考えなくても会話が通じることがほとんどだと思います。
そのNISTが2005年に、脆弱性の影響範囲、攻撃条件、悪用の難易度などを考慮したスコアがつけられている「CVSS(Common Vulnerability Scoring System)」を作りました。
CVSSスコアは、脆弱性の深刻度を0(最も低いリスク)から10(最も高いリスク)までの数値で表したもので、このスコアによって脆弱性の影響の大きさや緊急性が評価されます。スコアが高いほど、その脆弱性によるリスクが大きいと判断され、セキュリティ対策の優先度が高くなります。
CVSSはバージョンを重ねることにスコアリングの評価方法やわかりやすさを見直して進化しました。2025年現在ではCVSS v4が最新です。
脆弱性をすべて塞ぐことがなぜ難しいのか
記事の冒頭で脆弱性をすべて塞ぐことは困難と書きました。その理由はいくつかあります。まず一つ目は脆弱性が毎年前年を上回る勢いで増え続けていることです。すべてに対応していては、予算がいくらあっても足りません。
私がこの記事を書くきっかけになった記事でも、脆弱性の数が2024年の約4万件から2025年には4万6000件以上となる見込みと記載があります※1。脆弱性の数が多すぎるのです。2016年以前は1万件未満だったことを考えると、驚異的な伸び率です。これは運用現場の大きな負荷になっています。
※1.https://www.darkreading.com/cyber-risk/cyber-insurers-may-limit-payments-breaches-unpatched-cve
また、そもそもほとんどの脆弱性は悪用されることがありません。スコアが高い脆弱性をすべて対応するのはそもそも必ずしも合理的ではありません。
脆弱性を検知するのが得意なTenable社によると、悪用される可能性の高い脆弱性は3%程度とのことです。逆説的には97%の脆弱性は悪用される可能性が高くないともいえます。※2
※2.https://jp.tenable.com/whitepapers/predictive-prioritization-data-science-lets-you-focus-on-3-percent-of-vulnerabilities
こういった意味で、スコアの高い既知の脆弱性を塞ぐことでサイバー保険の料金を変えるのは、合理的であることを好むアメリカで普及するかは怪しいものです。
どうやって脆弱性対応をしていくか
次世代の脆弱性対応のための提案は二つあります。
XM Cyber(エックスエムサイバー)での対策
XM Cyberは攻撃者目線でどんな攻撃ルート(アタックパス)があるかを可視化することが得意です。機密情報に至る複数の攻撃ルートが集中する箇所をチョークポイントとして、より洗練された優先順位付けを行い、脆弱性を塞ぐように提案します。
システムの構成を理解して、自分たちで対応の優先順位を付けることや脆弱性の組み合わせなどを現場のエンジニアが判断する必要はなく、自動的にそれらを考慮したスキャン結果を表示します。
外部から攻撃されるルートを効率的に塞ぐことができるツールですので、脆弱性対応の対応工数を圧縮する効果が期待できます。
Cloudbase(クラウドベース)での対策
Cloudbaseはサーバレスでスキャン可能なので、手軽に導入できることが長所です。そして、細かい話なのでサイト内では詳しく書いてませんが脆弱性スキャン機能も優れています。
CloudbaseはSSVCの手法を取り入れており、顧客環境を読み取って理解して対策が必要な脆弱性を洗い出します。たとえば、悪用されるコードが公開されている脆弱性か、該当の機器がインターネットに公開されているか等複数の要素をデシジョンツリーで評価して対応すべきものを抽出します。
XM Cyberのようにアタックパスを可視化するところまではできませんが、国産製品なので日本語でわかりやすく運用負荷が低いという長所があります。エンジニアなら経験あると思いますが、検出された新しいCVEを検索してもわずかな情報が英語で拾えるのみでどう対応するのかを考えるのはそれなりに技術力が求められます。Cloudbaseは日本語で整理された情報を表示してくれるので、その点は安心です。
脆弱性対応を実施しない組織はなかなかないと思いますが、適切に実施するのが難しいのも事実です。ソリューション提案でセキュリティ担当者と会話すると、脆弱性対応に悩む顧客は少なくありません。システムの脆弱性が責任者に可視化されていない場合は、ツールの見直しも視野に入れた検討が必要かもしれません。
まとめ
だいぶ駆け足ですがCVE及び脆弱性スコア等の解説と、脆弱性の対応方法について解説いたしました。脆弱性についてはまだまだ多くの悩みがあると思います。ゼロトラストと言われる現代ではプライベートネットワークにあるサーバもパッチ適用すべきか等、オンプレではあまり悩まなかった部分に頭を抱えるシーンもあると思います。
弊社にご相談いただければ個別の事情を考慮した上で最適な提案をさせていただきます。サイバーセキュリティについて課題がございましたら、お気軽にご相談ください。
弊社では、セキュリティ、インフラストラクチャ、デジタルトランスフォーメーション(DX)を包括的にサポートするソリューションを提供しています。私たちの専門知識がどのように貴社の成長と安全性を高められるか、ぜひ資料をご覧ください。
以下のリンクから無料でダウンロードいただけます。貴社の未来を守り、進化させるためのお手伝いができることを楽しみにしています。
