記事本文(要約)
米国政府は、ソフトウェアやハードウェアの欠陥がサイバー攻撃者によって実際に利用される可能性を判断する新たな基準を発表しました。米国商務省の国家標準技術研究所(NIST)は、5月19日に「Likely Exploited Vulnerabilities(LEV)」と呼ばれる方程式を公表しました。この方程式は、既に攻撃者に悪用された可能性の高い脆弱性を特定するためのものです。LEVは、既存のCISAの既知の脆弱性リストなどを補完し、セキュリティオペレーションチームがパッチ管理戦略を最適化するのに役立つ可能性があります。
Trend MicroのDustin Childs氏は、もしLEVが効果的に実装されれば、防御側の迅速な対応に貢献する「ゲームチェンジャー」となる可能性があると述べています。LEVは既存のEPSSやKEVリストの不正確な部分を補正することを目指しており、従来のシステムに追加のデータを提供します。しかし、実際の効果を上げるためには、産業界との協力が必要です。
LEV方程式には2つのバージョンがあり、1つは比較的少ない計算資源を使用し、もう1つはより多くの計算資源が必要ですが、現代の通常のラップトップでも迅速に処理可能です。実施方法によって、脆弱性管理の効果を決定づけることになります。
一方で、脆弱性の複雑さを方程式に当てはめることへの懸念もあります。Luta Securityのケイティ・ムーサウリス氏は、脆弱性の優先順位付けにおいて、LEVがCVSSスコアのように過剰に依存されることを懸念しています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 21 May 2025 15:26:31 GMT
Original URL: https://www.darkreading.com/vulnerabilities-threats/nist-lev-equation-determine-likelihood-bug-exploited
詳細な技術情報
この文章では、米国政府が新たに提案した「Likely Exploited Vulnerabilities(LEV)」という基準について述べられています。これは、ソフトウェアまたはハードウェアの脆弱性が脅威アクターによって野生で成功裏にターゲットにされる可能性を評価するための新たな標準値を提供するものです。
CVE番号
記事では具体的なCVE番号については言及されていません。LEVは、CVE(Common Vulnerabilities and Exposures)の一部脆弱性がどのくらいの確率で実際に悪用されるかを予測するための基準として機能します。
脆弱性の仕組み
LEVの基準は、研究者たちが観察した「既知の脆弱性」のうち、どれが実際に悪用されやすいかについての予測を行うことを目的としています。従来のExploit Prediction Scoring System(EPSS)などと組み合わせて、運用を補完する形で機能することを目指しています。
攻撃手法
攻撃手法そのものについて具体的な記述はありませんが、LEVは脆弱性が実際に悪用される可能性を評価するための追加情報を提供します。このことで、脆弱性管理において予防的な対策強化を可能にするものです。
潜在的な影響
- セキュリティ運用の効率化: LEVを用いることで、セキュリティオペレーションチームは、悪用される可能性が高い脆弱性に迅速に対応することが可能になります。
- 優先順位の明確化: 脆弱性の修正や緩和の優先順位を効果的に決定できるため、リスクを低減し、攻撃の成功を未然に防止する姿勢を強化できるでしょう。
- コミュニケーションの改善: 透明性のある基準に基づく行動で、内外のステークホルダーとのコミュニケーションが円滑になる可能性があります。
推奨される対策
- LEVデータの活用: セキュリティオペレーションチームは、LEVを用いて脆弱性管理と修正の優先度を設定するべきです。
- 統合的な視点: LEVのみならず、EPSSや既知の脆弱性リスト(KEVなど)と併せて使用することで、より包括的な脆弱性対応策を講じることができます。
- 業界との協力: NISTなどの標準策定機関と協力し、LEVのパフォーマンス測定データを共有することで、基準の精度向上に寄与することが求められます。
- 訓練と教育: 社内のセキュリティチームを対象にLEVの理解と活用方法についてのトレーニングを実施し、効果的な脆弱性管理を推進することが重要です。
