アプリケーションリスクスコアリング

現代のソフトウェアアプリケーションにおいて、強力なセキュリティポスチャを維持するうえでの課題は、今日のサイバー脅威の巧妙化と数だけに由来するものではありません。今日の課題の多くは、現代のアプリケーションの複雑さに起因しています。最新のアプリケーションは、予測可能なモノリシックアプリではなく、数十または数百（場合によっては数千）のマイクロサービスとデータベースで構成されているため、管理できないほど多くの依存関係を持つ巨大な攻撃対象領域となります。複雑さに加えて、分散している開発チームがアプリケーションコードを頻繁に更新しています。これらの変更の多くが、完全なセキュリティレビューなしで本番環境にプッシュされています。修正すべき順番を示す優先順位を付けることが、今日のアプリケーションセキュリティにとって最大の課題です。

このような背景から、アプリケーションリスクスコアリングが重要なツールとして浮上しています。アプリケーションリスクスコアリングでは、脆弱性が発生する可能性、悪用される可能性、ビジネスに与える潜在的な影響に基づいて評価します。この観点から脆弱性を評価することで、セキュリティチームは軽減作業に適切な優先順位を付け、最も重要な対象にリソースを割くことができます。

この記事では、アプリケーションリスクスコアリングの背後にある重要な概念について説明します。リスクスコアリングをより明確に理解するために、共通脆弱性評価システム (CVSS) スコア（およびその他のスコアリング標準）の役割について説明し、ビジネスとデータのフローのコンテキストをリスク評価に統合することの意味について説明します。最後に、アプリケーションリスクのスコアリングと評価におけるASPM（アプリケーションセキュリティポスチャ管理） の役割を考察します。

ビジネスとエンジニアリングのコンテキストにおけるリスクの理解

ビジネスの世界では、現実として、リスクを完全に回避することはできません。企業は、データ、顧客、財務、評判、知的財産の潜在的な損失に絶えず直面しています。アプリケーションを開発している企業では、ソフトウェアが動的な性質を持っていることが原因で、このリスクは増幅されます。継続的インテグレーション/継続的デリバリー (CI/CD) とアジャイル開発による頻繁な更新と変更により、新しい脆弱性が生じています。現代のクラウドネイティブアプリケーションによって、リスク領域がさらに複雑化しています。

これらのリスクを回避してビジネスを進めるために、企業は継続的なリスク評価に取り組んでいます。セキュリティチームは、企業の業務に影響を与える可能性のある脅威を軽減する任務を負っています。もちろん、ここでの優先順位付けは重要であり、脅威に優先順位を付けることで、組織はリソースをより効果的に割り当て、最も差し迫ったセキュリティ上の課題に最初に対処することができます。しかし、企業はこの優先順位をどのような方法で決定すべきでしょうか？

組織は、セキュリティ保護に責任を負う必要がある、アプリケーションの業務機能（およびアプリケーションを構成するマイクロサービス）を理解する必要があります。以下の質問は、リスクが最も影響を与える対象を特定する際に役立ちます。

1. 何をするのか（つまり、各マイクロサービスやAPIの業務機能は何か）？
2. どのデータが危険にさらされているのか？個人を特定できる情報 (PII)、ペイメントカード業界 (PCI) データ、保護対象保健情報 (PHI) などの機密データに接続したり、そうしたデータを処理したりするマイクロサービスとAPIはどれか？

各アプリケーションコンポーネントの重要度と関連するデータの機密性を評価することで、組織はビジネス継続性と競争力に現実の脅威をもたらす脆弱性に集中できます。

CVSSスコアは、リスクの部分的な状況のみを提供

CVSSは、ソフトウェアのセキュリティ脆弱性の重大度を評価するものとして、広く認められている指標です。CVSSスコアは、Forum of Incident Response and Security Teams (FIRST) によって開発され、脆弱性のさまざまな側面を分析して潜在的な影響を定量化することによって決定されます。スコアの範囲は0～10です。

• 重大度「低」（0～3.9）：多くの場合、悪用するには特定の条件が必要であり、リスクは最小限です。
• 重大度「中」（4.0～6.9）：より一般的で、比較的簡単に悪用されますが、通常は深刻な結果にはつながりません。
• 重大度「高」（7.0～8.9）：重大な脅威であり、多くの場合、影響を受けるシステムに対する不正アクセスまたは制御が可能になります。
• 重大度「重大」（9.0～10）：最も危険な種類の脆弱性です。通常、この種の脆弱性は広範な悪用が可能であり、データ損失、システムのダウンタイム、システムの完全な乗っ取りなどの深刻な影響を引き起こす可能性があります。

CVSSスコアは、多くの場合、共通脆弱性識別子 (CVE) に関連しています。例えば、National Vulnerability Database (NVD) は、リスト内のすべてのCVEのCVSSスコアを提供します。

CVSSスコアは脆弱性の重大度に関するインサイトを提供しますが、重大度は悪用される可能性の尺度ではないことを理解することが重要です。

悪用される可能性の測定

脆弱性が悪用される可能性を判断するには、コンポーネントがインターネットに接続されているかどうか、その使用（内部または外部）、および認証が必要かどうかを検討する必要があります。攻撃者が脆弱性に到達できると判断されると、追加情報を使用して、悪意のあるアクターが各弱点を標的にしているかどうかを判断できます。

悪用される可能性の詳細を深く掘り下げるために、Exploit Prediction Scoring System (EPSS) とExPRT.AIを見てみましょう。

同じくFIRSTが主導するEPSSは、脆弱性が悪用される可能性を示す確率スコアを提供し、ExPRT.AIは、現実世界で攻撃者が利用している脆弱性を判断します。これらの指標を組み合わせることで、CVSSスコアだけでは得られない、リスクに関するより包括的な把握が可能になります。

CVSSスコアの限界を理解すると同時に、アプリケーションアーキテクチャ、EPSS、ExPRT.AIをリスク評価に統合することで、より詳細なアプローチが可能になります。この統合により、脆弱性の重大度と、特定のビジネス環境において脆弱性が悪用される可能性を区別できます。ただし、包括的なアプリケーションリスク評価は、重大度と悪用可能性に加えて、もう1つの要因である重要度を考慮することが重要です。

ビジネス上の重要度の考慮

脆弱性がアプリケーションにもたらすリスクは、ビジネスへの潜在的な影響、つまりビジネス上の重要度と呼ばれるものにも関連しています。ビジネス上の重要度を評価するには、次の点を考慮する必要があります。

1. アプリケーションのアーキテクチャにおける各マイクロサービスとAPIの業務機能
2. データフローの機密性

コンポーネントが機密性の高いデータ（PII、PHI、またはPCI標準の対象となるデータ）を処理するかどうかによって、そのコンポーネント内の脆弱性の重要度が大幅に変わる可能性があります。このアプローチは、脆弱性の画一的な見方を超えた、各組織固有の側面を反映したカスタマイズされたリスク評価を可能にします。

アプリケーションを通過する機密データの流れを追跡することは困難です。まず、各データベースで機密情報を監査する必要があります。次に、このデータの使用をすべてのアプリケーションコンポーネントで追跡する必要があります。データフローが複雑化するにつれ、これを手作業で完了することは、不可能とまでは言わなくても、すぐに困難なプロセスになります。

ビジネスとデータフローのコンテキストをリスク評価に統合することで、最も重大な脆弱性に優先順位を付け、サイバーセキュリティの取り組みを組織全体のリスク管理戦略に合わせることができます。

ASPMとアプリケーションリスクスコアリング

ASPMは、ソフトウェアアプリケーションをセキュリティで保護するための包括的なアプローチです。リスクベースのスコアリングにより、アプリケーションやビジネスに最も大きな影響を与える脆弱性を特定し、最初に修正すべき脆弱性を優先させます。

ASPMツールは、リスクベースのスコアリングを使用して、各脆弱性の優先順位を決定します。この方法には、この記事で説明した3つの要因（重大度、悪用される可能性、および影響を受けるアプリケーションコンポーネントのビジネス上の重要度）のすべての分析が含まれます。

ASPMは、リスクベースのアプローチを採用することで、組織が最も重大な脅威にリソースを集中させ、全体的なサイバーセキュリティポスチャを強化することを可能にします。

まとめ

アプリケーションリスクスコアリングを使用したリスクベースのアプローチは、複雑なアプリケーションや分散型チームの中でサイバー脅威の状況を乗り切ろうとする現代の組織にとって不可欠なものとなっています。リソースを効果的かつ効率的に使用するには、組織はアプリケーションが直面するリスクに適切に優先順位を付ける必要があります。つまり、脆弱性の重大度（CVSSスコアを考慮）、悪用される可能性（アーキテクチャとExPRT.AIを考慮）、ビジネスの重要度に基づいて脆弱性を評価します。

クラウドストライクは、ASPMのパイオニアであるBionicの買収を通じて、サイバーセキュリティの分野で主導的な役割を果たし続けています。CrowdStrike Falcon®プラットフォームを利用する企業は、Bionicの統合型ASPMソリューションによる包括的なリスクの可視化と保護も享受できます。

Falconプラットフォームの詳細を知るために、今すぐにオンデマンドのデモに登録するか、弊社にお問い合わせください。