パッチ適用優先度 ぱっちてきようゆうせんど
簡単に言うとこんな感じ!
システムの「穴(脆弱性)」をふさぐ修正プログラム(パッチ)は毎月山ほど出るんだけど、全部すぐには対応できないよね。だから「どれを先に直すか」を決めるのがパッチ適用優先度なんだ。危険度・攻撃されやすさ・業務への影響などを組み合わせて順番をつけるってこと!
パッチ適用優先度とは
パッチ適用優先度とは、ソフトウェアやOSの脆弱性(セキュリティの穴)を修正するパッチを、どの順番で適用するかを決めるための評価・判断の仕組みです。企業のシステムには無数の脆弱性が日々発見されますが、リソース(人手・時間・テスト工数)には限りがあるため、「全部を同時に直す」ことは現実的ではありません。
優先度を決める際には、脆弱性の深刻度スコア(CVSSスコア)だけでなく、「実際に攻撃コードが出回っているか」「攻撃対象のシステムが業務にとってどれだけ重要か」「インターネットに公開されているか」など、複数の要素を総合的に判断します。スコアだけを機械的に見るのではなく、自社環境の文脈を加味することが重要です。
適切な優先度設定ができていないと、スコアが低くても実際には悪用されやすい脆弱性を放置したり、逆に業務影響の少ない箇所に多くの工数を使いすぎたりする非効率が生まれます。限られたリソースを最大の効果に変えるための意思決定フレームワークと言えます。
優先度を決める主な評価軸
パッチ適用の優先度は、以下のような複数の観点を組み合わせて総合判断します。
| 評価軸 | 内容 | 具体例 |
|---|---|---|
| CVSSスコア | 脆弱性の技術的な深刻度を0〜10点で示す標準スコア | 9.0以上はCritical(緊急) |
| 悪用実績(Exploit) | 実際に攻撃コードが公開・利用されているか | KEVカタログへの掲載有無 |
| 資産の重要度 | 対象システムの業務上の重要性 | 基幹系・顧客DBは高、開発検証は低 |
| 公開・露出度 | インターネットから直接アクセスできるか | DMZ上のWebサーバーは高リスク |
| 影響範囲 | 攻撃が成功した場合の被害の広さ | 全社認証基盤なら影響大 |
| パッチの安定性 | パッチ適用によるシステム障害リスク | リリース直後は検証不足の場合あり |
優先度レベルの目安
| 優先度 | 目安の対応期限 | 条件の例 |
|---|---|---|
| 緊急(P1) | 24〜72時間以内 | CVSSスコア9以上かつ悪用実績あり |
| 高(P2) | 1〜2週間以内 | CVSSスコア7以上または公開サーバーに影響 |
| 中(P3) | 1ヶ月以内 | CVSSスコア4〜6台、内部システムのみ |
| 低(P4) | 次回定期メンテで対応 | CVSSスコア3以下、悪用事例なし |
語呂合わせで覚える4つの「コ」
優先度を上げる要素を 「コ・コ・コ・コ」 で覚えよう。
- コウ撃コードが出ている(Exploit)
- コウ公開されたサーバー(公開露出)
- コア業務に直結(資産重要度)
- コウスコア(CVSSが高い)
歴史と背景
- 2000年代前半 — Windowsのパッチ配信が毎月第2火曜日(パッチチューズデー)に定例化。企業はとりあえず全部適用を試みたが、数が増えすぎて対応が追いつかなくなり始める
- 2005年 — CVSS(Common Vulnerability Scoring System)バージョン1が策定され、脆弱性の深刻度を数値化する共通基準が生まれる
- 2007年 — CVSS v2リリース。業界標準として広く普及し、パッチ優先付けの定量的根拠として活用が進む
- 2015年 — CVSS v3リリース。「スコープ変更」などの概念が追加され、クラウド環境の脆弱性をより正確に評価できるようになる
- 2019年頃〜 — CVSSスコアが高くても悪用されない脆弱性が多いことが課題として顕在化。悪用実績を加味したEPSS(Exploit Prediction Scoring System)が注目を集める
- 2021年 — CISAがKEVカタログ(Known Exploited Vulnerabilities)を公開。米国政府機関への義務付けをきっかけに民間でも「悪用済み脆弱性を最優先」という考え方が広がる
- 2023年〜現在 — CVSS v4リリース。より細かい評価軸が追加。AIによる優先度自動判定ツールも登場し始める
CVSSスコアだけでは不十分な理由
優先度判定において、CVSSスコアは重要な出発点ですが、それだけに頼るのは危険です。以下の図で「スコアと実際のリスク」の関係を整理します。
EPSS(Exploit Prediction Scoring System)とは
EPSSは、ある脆弱性が「今後30日以内に実際に悪用される確率」を0〜100%で示す指標です。CVSSが「理論上の深刻度」を示すのに対し、EPSSは「現実の攻撃リスク」に焦点を当てています。CVSSが9点以上でもEPSSが0.1%未満の脆弱性は無数にあり、逆にCVSSが中程度でもEPSSが高い脆弱性は早急な対応が必要です。
KEVカタログとは
KEV(Known Exploited Vulnerabilities)カタログは、米国のサイバーセキュリティ機関CISA(Cybersecurity and Infrastructure Security Agency)が公開しているリストで、実際に攻撃者に悪用された脆弱性が登録されています。「理屈ではなく現実に使われた脆弱性」なので、掲載されたら最優先での対応が推奨されます。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| CVSS v4.0仕様書(FIRST.org) | 脆弱性の深刻度を定量評価する共通基準の最新版 |
| NIST SP 800-40 Rev.4 | パッチ管理プログラムのガイドライン(米国NIST) |
| CISAのKEVカタログ | 実際に悪用された脆弱性の公式リスト |
関連用語
- 脆弱性管理 — 組織内のセキュリティ上の弱点を継続的に発見・評価・対処するプロセス全体
- CVSSスコア — 脆弱性の深刻度を0〜10点で数値化する共通評価基準
- パッチ管理 — ソフトウェアの修正プログラムを計画的に配布・適用する運用プロセス
- ゼロデイ脆弱性 — 修正パッチが存在しない状態で悪用される脆弱性
- リスクアセスメント — 情報資産に対する脅威・脆弱性・影響を総合的に評価する手法
- セキュリティベースライン — 組織が最低限維持すべきセキュリティ設定・対策の基準値
- CISA KEVカタログ — 米国CISAが公開する実際に悪用された脆弱性の公式リスト
- 脅威インテリジェンス — 攻撃者の手口・動向に関する情報を収集・分析してセキュリティ対策に活用する取り組み