※上記フォームで送信できない場合は、こちらまでお問い合わせください。
FutureVulsで検知されたユニーク脆弱性におけるCVSS深刻度の分布(全45,779件)をCVSSスコア別に分析を実施しています。
結果として、全体の54.0%が「High(高)」以上の深刻度に分類されており、スコア単体での優先順位付けが 現場の「アラート疲労」を招く構造的な要因となっていることが明らかになりました。
自社環境のコンテキストを加味したリスクベース評価「SSVC(Stakeholder-Specific Vulnerability Categorization)」を用いることで、ノイズを劇的に削減することが可能です。
自社環境における「攻撃コード (Exploit)の有無」や「ネットワー ク到達性」「ビジネスへの影響度」 といったコンテキストを掛け合わせ てトリアージを行うことで、アラー トの波から真の脅威を抽出し、危険な脅威を絞り込めます。
SSVC評価によって最も危険度が高いとされた
「Immediate(即時対応)」の脆弱性に対する修復リードタイム(パッチ適用または代替策の完了まで)を調査したところ、平均日数は88.6日、中央値(Median)は45.8日でした。
ミッショ ンクリティカルなシステムにおいてパッチ適用による システム障害(デグレ等)を防ぐため、事前のQA(品質保証)テスト、影響範囲の調査、関係部署(インフラ部門とアプリケーション部門等)との適用スケジュー ルの調整を安全に行うための「エンタープライズ企業における現実的な必要検証期間」を示しています。
サイバー攻撃者は常に企業の「最も管理が行き届いていない場所」を狙う。本調査では、検知された脆弱性の環境(アタックサーフェス)別の傾向と、システムのライフサイクルに起因する構造的な課題を分析しています。
日々発生する脆弱性対応タスクの圧倒的多数をOSレイヤーが占めており、インフラ基盤の維持管理がいかに高負荷であるかが伺える。ソフトウェア種別ごとの検知傾向を見ると、全体の97.7%(8,949,384件)がOSパッケージ由来のアラートであり、ライブラリ層(0.4%)やプライベートなアプリケーショ ン層を圧倒していることが可視化判明しました。
