OT製品の脆弱性管理は、CRAおよびIEC 62443に基づき、特定・評価・修正・通知のプロセスで進められます。CVSSスコアで優先度を決定し、緊急は7日以内、クリティカルは30日以内など修正期限を設定。修正困難な場合はリスクレジスターに記録し監視を継続。影響度と発生可能性でリスクを分類し、高リスクは即時対応する。さらに脆弱性報告テンプレートを活用し、影響製品、原因、緩和策を明示し、ユーザーに透明性ある通知を行います。
ここでは、次の3点を説明しています。
- 新たな脆弱性を発見した場合の対応プロセス
- 脆弱性の評価・優先度付けの方法
- 脆弱性報告テンプレートの活用
脆弱性対応プロセス
脆弱性対応の基本プロセスは以下の通りです。
- 脆弱性の特定
- 内部テスト、コードレビュー、ペネトレーションテスト
- 外部報告(セキュリティ研究者、ユーザーからの報告)
- 影響評価
- 脆弱性がセキュリティリスクにつながるかを判断
- リスクがある場合はバックログに追加し優先度を設定
- 修正対応
- 修正パッチやアップデートを開発・テスト
- ユーザーへの通知(セキュリティ通知ポータルやメール)
- リスク登録
- 修正が不可能な脆弱性は、リスクレジスターに記録し、継続的に監視
- CRA遵守のため、未緩和リスクも文書化することが重要
脆弱性の評価と優先度付け
脆弱性はCVSS(Common Vulnerability Scoring System)スコアを用いて優先度を決定します。
CVSSスコアとは、ソフトウェアやハードウェアに存在する脆弱性の深刻度を、0.0から10.0の数値で評価する国際的な標準指標です。このスコアは、情報セキュリティの3要素(機密性、完全性、可用性)への影響を評価し、脆弱性対応の優先順位付けや関係者間の認識共有を容易にすることを目的としています。
| 脆弱性レベル | CVSSスコア | 推奨修正期限 | 補足 |
|---|---|---|---|
| 緊急(Zero Day, Active Exploit) | 10 | 7日以内 | 即時対応必須 |
| クリティカル | 9.0〜9.9 | 30日以内 | 高優先度、迅速対応 |
| 高 | 7.0〜8.9 | インターネット公開製品:30日以内 / 内部限定:90日以内 | |
| 中 | 4.0〜6.9 | 次回計画的アップデートで対応 | 優先度中 |
| 低 | 0.1〜3.9 | 次回ライフサイクル更新時 | 低優先度 |
未緩和脆弱性のリスク評価
修正できない場合、脆弱性はセキュリティリスクとして扱います。評価項目は以下です。
- 影響度:財務損失、運用停止、ブランド・評判リスク、規制影響
- 発生可能性:まれ〜非常に高い
これらを組み合わせ、リスクを 低・中・高 に分類します。
- 高リスク:即時対策
- 中リスク:6ヶ月以内に対応
- 低リスク:12ヶ月以内に対応
脆弱性報告テンプレート(Vulnerability Disclosure Template)
透明性を確保し、ユーザー・ステークホルダーに正確な情報を提供するために使用します。
主な項目
- 影響製品・バージョン
- 脆弱性の説明
- 原因、潜在的影響、CVSSスコア
- 開発チームの対応ステップ
- ユーザー向け緩和策
- ネットワーク隔離、最新アップデートの適用
- 公開・通知手段
- ウェブサイト、メール、セキュリティポータル
このテンプレートにより、CRA要求に沿ったユーザー通知と透明性確保が可能になります。
参考情報・最新動向
- CRA法公式概要(EU公式):Cyber Resilience Act
- CVSS 3.1 標準(脆弱性評価指針):https://www.first.org/cvss/
- ENISA IoT脆弱性トレンド 2024:ENISA IoT Threat Landscape 2024
- IEC 62443規格(セキュリティライフサイクル管理):https://www.iec.ch/62443
💡 ポイント
- 脆弱性管理は単なるパッチ適用ではなく、リスクベースで優先度を決めることが重要
- CRA準拠のため、未緩和リスクもリスクレジスターに記録
- ユーザー向け通知は透明性と迅速性を確保すること
コメント