ファームウェア分析における弱点データの理解と優先順位付け

ファームウェア分析では、分析中に抽出されたファームウェア コンポーネントで検出された弱点が表示されます。 これらのシグナルは潜在的なセキュリティ リスクを理解するのに役立ちますが、慎重にコンテキストで解釈する必要があります。 この記事では、ファームウェア分析の結果に表示される可能性がある弱点関連のフィールド、それらが相互にどのように関連しているか、およびそれらを一緒に評価してリスクに効果的に優先順位を付ける方法について説明します。

ファームウェア分析に弱点や CVE が存在しても、必ずしもデバイスが脆弱であるとは限りません。 実際の影響は、影響を受けるコンポーネントがシステム内でどのように使用されるかによって異なります。

ファームウェア分析における弱点信号

ファームウェア分析は、複数の業界標準信号を使用して結果を強化します。 各シグナルはリスクの異なる側面を表し、分離して解釈しないでください。

一般的な脆弱性と露出 (CVE)

CVE は、既知のセキュリティ脆弱性の一般に公開されている識別子です。 ファームウェア分析では、一致が識別されると、CVE が抽出されたファームウェア コンポーネントに関連付けられます。 1 つのファームウェア コンポーネントが複数の CVE に関連付けられている場合があり、1 つの CVE が複数のデバイスまたはコンポーネントにまたがって表示される場合があります。

CVE は問題の内容を特定しますが、影響や悪用可能性を単独で示すわけではありません。

CVE 識別子と CVE プログラムの詳細については、 MITRE が管理する公式の一般的な脆弱性と公開に関するドキュメントを参照してください。

CVSS スコアとバージョン

ファームウェア分析では、CVE の共通脆弱性スコアリング システム (CVSS) データが表示される場合があります。 同じ CVE に対して複数の CVSS バージョンが表示される場合があります。

  • CVSS v2 – 以前の脆弱性によって使用されるレガシ スコアリング
  • CVSS v3 – メトリックが改善された広く採用されている標準
  • CVSS v4 – 追加のディメンションを導入する新しいバージョン

複数の CVSS バージョンが存在することは、複数の異なる脆弱性ではなく、時間の経過と同時に脆弱性スコアリングがどのように進化するかを反映しています。

CVSS は技術的な重大度を表し、悪用の実際の可能性は示していません。

CVSS スコアリングとバージョンの違いの詳細については、 FIRST によって管理されている公式の共通脆弱性スコアリング システム (CVSS) ドキュメントを参照してください。

CVSS ベクター

CVSS には、数値スコアに加えて、スコアの要因を記述するベクター文字列が含まれています。次に例を示します。

  • 必要なアクセス レベル
  • 攻撃の複雑さ
  • 機密性、整合性、可用性への影響

ベクトルは、CVE の重大度評価に寄与する条件や影響要因などのより多くのコンテキストを提供します。

CVSS ベクター文字列とメトリックの意味の完全な説明については、 FIRST によって公開された CVSS 仕様を参照してください。

CVE の CVSS スコアとベクターの公開方法の例については、 NIST National Vulnerability Database (NVD) を参照してください。

CISA の既知の悪用された脆弱性 (KEV)

一部の CVE は、CISA の既知の脆弱性 (KEV) カタログの一部としてマークされる場合があります。 この指定は、脆弱性が実際のシナリオで積極的に悪用されていることが知られていることを示します。

  • KEV の状態は、特定のデバイスが影響を受けるかどうかではなく、観察された悪用アクティビティを反映します。
  • 現在、ファームウェア分析の KEV 状態は静的な値であり、スキャンが実行された時点のファームウェア分析 CVE データベースの状態を反映しています。 この値は動的に更新されません。 最も up-to-date KEV の状態を表示するには、ファームウェア イメージを再スキャンします。

KEV は、即時リスクの強いシグナルです。

権限のある KEV の状態と修復のガイダンスについては、 CISA の既知の脆弱性カタログを参照してください。

予測攻撃評価システム (EPSS)

ファームウェア分析には、脆弱性が悪用される可能性を推定する EPSS データが含まれる場合があります。 次の 2 つの関連値が表示される場合があります。

  • EPSS スコア – 脆弱性エコシステム全体で観察された傾向に基づいて悪用される可能性が推定されます
  • EPSS パーセンタイル – その確率が他の脆弱性と比較される方法

これらの値は比較リスク コンテキストを提供しますが、悪用を保証するものではありません。

Azure portal で EPSS でフィルター処理するには、EPSS スコアを 10 進形式で指定します (たとえば、 >50%の EPSS スコアの場合は、 >0.5をフィルター処理します)。

多くの場合、パーセンタイルのランク付けは、より広範な脆弱性エコシステムに対して CVE がどのようにランク付けされているかを示しているため、運用上役立ちます。

  • EPSS 値は現在、スキャンが実行された時点のファームウェア分析 CVE データベースの状態を反映した静的な値です。 この値は動的に更新されません。 最新の EPSS 状態を表示するには、ファームウェア イメージを再スキャンします。

EPSS は、悪用の保証ではなく、将来を見据える可能性のシグナルを提供します。

EPSS スコアとパーセンタイルの計算方法の詳細については、 FIRST によって管理される Exploit Prediction Scoring System のドキュメントを参照してください。

一般的な弱点列挙 (CWE)

CWE は、特定の脆弱性インスタンスではなく、脆弱性の原因となった基礎となる弱点 (バッファー オーバーフローや不適切な入力検証など) のクラスを表します。 CWE 識別子は、脆弱性が発生した場所だけでなく、脆弱性が存在する理由を記述することで、より多くのコンテキストを提供します。

CWE 識別子は情報であり、優先順位付けではなく根本原因を理解するために使用する必要があります。

CWE データは、MITRE Common Weakness Enumeration プロジェクトによって定義された標準化された弱点分類を反映しています。 CWE 識別子は情報であり、特定のデバイスまたはファームウェア イメージに対する悪用可能性や影響を単独で示すわけではありません。

CWE の定義と分類の詳細については、 MITRE CWE の公式ドキュメントを参照してください

エクスプロイトの成熟度

悪用の成熟度は、次のような脆弱性に対する悪用の可用性の現在の状態を表します。

  • 未実証
  • 概念実証
  • 機能上の悪用
  • 武器化されたエクスプロイト

存在する場合、エクスプロイトの成熟度情報は通常、CVSS v4 スコアリングと共に表示され、 FIRST によって維持される CVSS 仕様で説明されます

弱点データを一緒に使用する

各弱点信号は、異なる視点を表します。

  • CVE - この脆弱性とは
  • CVSS - 技術的な重大度と影響
  • KEV - アクティブな悪用の証拠
  • EPSS - 短期的な悪用の可能性
  • 悪用の成熟度 - 悪用手法の可用性
  • CWE - 基礎となる弱点カテゴリ

これらのシグナルを一緒に評価すると、単一のフィールドに依存するよりも、潜在的なリスクをより完全に理解できます。

効果的な優先順位付けには、重大度スコアリング以上のものが必要です。 次の構造化モデルは、弱点データを総合的に評価する方法を示しています。 この方法は、規範的な規則セットではなく、ガイダンスです。

  1. 悪用の状態の確認 (KEV)

    • KEV に記載されている弱点を最優先事項として扱う
    • CVSS スコアだけに基づいて KEV 項目をダウングレードしない

    スコア付けメトリックの前に、確認された悪用を評価する必要があります。

  2. 悪用の成熟度を評価する

    • 機能または武器化された悪用による弱点の優先順位を高める
    • 悪用の成熟度と露出特性を組み合わせる

    悪用の可用性により、実際のリスクが増加します。

  3. 悪用の可能性を評価する (EPSS)

    • EPSS を使用して、重大度が類似する脆弱性を区別する
    • パーセンタイルランキングは、生のスコアよりも実用的であることがよくあります
    • EPSS と KEV を組み合わせて成熟度を活用する

    EPSS は、優先順位付けの決定に確率論的コンテキストを追加します。

    Azure portal で EPSS でフィルター処理するには、EPSS スコアを 10 進形式で指定します (たとえば、 >50%の EPSS スコアの場合は、 >0.5をフィルター処理します)。

  4. 攻撃ベクトルと露出を確認する

    CVSS ベクトルから、次の点を考慮してください。

    • ネットワークアクセス可能な脆弱性とローカルまたは物理アクセス
    • 認証とユーザー操作の要件
    • 影響を受けるコンポーネントまたはサービスがデプロイで公開されているかどうか

    脆弱性は重大に見える可能性がありますが、実際には到達できない場合はリスクが減少します

  5. 技術的影響の重大度を評価する (CVSS)

    CVSS を使用して、悪用が成功した場合の影響を把握しますが、可能性の評価には適していません。

    • 高いまたは重大な重要度: 中程度以上の露出または可能性がある場合に優先する
    • 中程度の重大度: 悪用シグナルと露出に基づいて優先順位を付ける
    • 重大度が低い: アクティブな悪用または高い露出が存在しない限り、優先順位を低下させる

    可能性が似ている場合は、最初に影響の大きい脆弱性に対処します。

  6. ビジネスへの影響を評価する (重要度を評価する)

    資産の重要度は組織のコンテキストを反映し、次のものが含まれます。

    • システムが運用インフラストラクチャかコア インフラストラクチャか
    • 運用、安全性、またはコンプライアンスへの影響の可能性

    ビジネスへの影響は緊急性に影響しますが、脆弱性の仕組みは変わりません。

  7. 修正プログラムの可用性を考慮する

    修復の実現可能性は、実行計画に影響します。

    • パッチまたはファームウェアの更新プログラムの可用性
    • アップグレードの複雑さ
    • 使用可能な軽減策

    可用性を活用してスケジュールを策定するべきですが、悪用の証拠を無視してはいけません。

重要な考慮事項

常に弱点データを次と共に解釈します。

  • デバイスの役割と公開
  • システム構成
  • プラットフォーム内でのファームウェアの使用

ファームウェア分析は、抽出されたファームウェアコンテンツに基づいて潜在的なリスクを識別します。 特定のデプロイで脆弱性が到達可能か、悪用可能か、または影響を受けるのかは判断されません。

次のステップ

ファームウェア分析がコンポーネント データを抽出して表示する方法の詳細については、 ファームウェア分析での SBOM ビューからの抽出パスの解釈を参照してください。

  • Last updated on