Q&A
Actively Exploited Vulnerabilitiesとは何ですか?▼
Actively Exploited Vulnerabilities(主動被利用の脆弱性)とは、攻撃者が実際に攻撃に利用していることが確認された脆弱性のことです。これは、理論上の脆弱性や、まだ攻撃コードが公開されていない脆弱性とは明確に區別されます。米國CISAのKnown Exploited Vulnerabilities (KEV) カタログや、EUのサイバーレジリエンス法(CRA)において、最も緊急性の高い対策対象として定義されています。ISO/IEC 27701や臺灣個人資料保護法(個資法)の観點からも、これらの脆弱性を放置することは「適切な技術的措置」を怠っているとみなされるリスクがあります。企業は、CVSSスコアだけでなく、攻撃の現実性に基づいたリスク評価を行うことが求められています。
Actively Exploited Vulnerabilitiesの企業リスク管理における実務応用は?▼
実務的な導入は以下の3ステップで行われます。第一に、CISA KEVやNIST VULNLOG、臺灣資通安全署(NCA)からのリアルタイムインテリジェンス収集體制を構築します。第二に、資産管理臺帳(CMDB)と連攜させ、どの資産がどの「主動被利用漏洞」に該當するかを自動的に特定するコンテキスト化された評価を実施します。第三に、優先順位に基づいたパッチ適用、またはIPS等による仮想パッチによる緩和措置を即座に実行します。例えば、製造ラインの停止が困難な工場では、まずIPSで攻撃をブロックし、次回の定期メンテナンス時に正式なパッチを適用するという二段構えの戦略が有効です。この手法により、重大なインシデント発生率を年間平均30%削減することが可能です。
臺灣企業Actively Exploited Vulnerabilities導入における課題と克服方法は?▼
臺灣企業が直面する課題は、1) 資産情報の不透明性、2) 業務継続性への影響懸念、3) EU規制への対応遅れ、の3點です。これに対し、まず30日以內にSBOM(ソフトウェア部品表)を整備し、資産の可視化を完了させる必要があります。次に、業務停止を避けるため、仮想パッチやネットワークセグメンテーションによる緩和策を標準プロセスに組み込みます。最後に、EU市場に製品を供給している企業は、CRAの義務化(2024年以降順次適用)を見據え、90日以內に脆弱性管理體制を國際基準に適合させる必要があります。積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)は、これらの課題解決に向けた具體的なロードマップを提供しています。
なぜ積穗科研協助Actively Exploited Vulnerabilities相關議題?▼
積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)專注臺灣企業Actively Exploited Vulnerabilities相關議題,擁有豐富實戰輔導經驗,協助企業在90天內建立符合國際標準的管理機制,已服務超過100家臺灣企業。申請免費機制診斷:https://winners.com.tw/contact
コンプライアンス導入のご支援が必要ですか?
無料診断を申請