日立、事業影響に基づいて脆弱性対応の優先度を自動判断する手法を開発

　株式会社日立製作所（以下、日立）は18日、限られた人員でも重要な脆弱性に優先的に対応できるよう、システム脆弱性対応の優先度を事業影響に基づいて自動判断する手法を開発したと発表した。

　従来、脆弱性評価には、技術的な深刻度を数値で示す指標（CVSS）と、事業影響も踏まえて対応方針を判断するSSVC（Stakeholder-Specific Vulnerability Categorization）が用いられてきた。CVSSでは、技術的なリスクを客観的にスコアで評価できる一方、システムごとに異なる業務・事業への影響を反映しにくく、優先順位付けが困難だった。SSVCでは、事業影響を踏まえた評価が可能であるものの、手動評価や関係者間の合意が必要となる場合が多く、迅速な判断や自動化に課題があった。

　日立はこれまで、事業影響を踏まえたセキュリティ対策の意思決定を支援するセキュリティデジタルツインの開発や実運用に取り組んできた。今回、その知見を生かし、システム脆弱性対応の優先度を自動判断する手法を開発した。開発した手法は、SSVCの事業影響評価項目と、CVSSによる技術的評価を組み合わせ、さらにチケット管理まで自動化する。

　開発した技術は、脆弱性検知前に、SSVCにおける事業影響評価項目であるHuman Impact（HI）について、最悪の事案を事前に設定し、検知時にはCVSSの影響指標を用いて脆弱性ごとのHIを自動補正評価する。具体的には、対象システムにおいて、まず、情報の機密性・完全性・可用性（CIA）が失われた場合に想定される最悪事案のHIを評価し、その結果を関係者間で事前に合意・設定する。

　次に、脆弱性検知時には、各脆弱性について、公開されている脆弱性情報（NVDなど）を参照し、技術的な影響の深刻度を示す指標（CVSS影響メトリクス）に基づいて、CIAへの影響を自動で確認する。これを事前に設定した最悪事案のHIと組み合わせることで、脆弱性ごとの事業影響（HI）を自動で補正評価し、その結果をSSVCの総合判断に用いることで、技術的な深刻度だけでなく、事業やサービスへの影響を踏まえた対応優先度の自動判断を可能にする。

　これにより、脆弱性が検知されるたびに関係者間で都度議論することなく、真に優先すべき対応に現場リソースを集中できる運用を実現する。また、一貫性のある判断結果のため、対応優先度の根拠を監査や取引先に対しても示しやすくなる。

　さらに、脆弱性対応の判断結果をチケット管理システムと連携させることで、脆弱性管理の運用を自動化する。プロトタイプでは、脆弱性の検知から、HIを含むSSVCの判断に応じた作業登録・期限設定、期限付きチケット発行までを自動で行えることを確認したという。これにより、従来は担当者ごとに個別に行っていた対応依頼を標準化し、チケット管理システム上で脆弱性対応の進捗を一元的に管理・可視化でき、対応の遅延やボトルネックを特定しやすくなる。その結果、対応漏れの防止や運用負荷の軽減につながり、迅速な脆弱性対応や管理の継続的な運用改善を支援する。

従来の脆弱性対応との比較と、今回の手法を活用した対応自動化の流れ

　日立は今後、プロトタイプを用いた実証実験を通じて、判断根拠を示しながら迅速な脆弱性対応と運用負荷低減を両立する自動運用の有効性を検証し、実用化に向けた検討を進める。これにより、限られた人員でも継続的に運用しやすい脆弱性対応体制の強化を支援していく。日立は、今回開発した手法に用いる技術を、Lumada 3.0を支えるセキュリティ基盤技術の一つとして強化し、安心・安全なデジタル社会の実現を目指すとしている。