
TYPE 2
CVSS依存型
CVSS中心で実リスクが見えない
いまの状態
CVSSスコアを基準に脆弱性対応を行っているものの、自社環境における実際の危険度を判断できていない可能性があります。CVSSは有用な指標ですが環境文脈を含まないため、資産の露出・実行時利用・権限・攻撃者がたどれる経路を組み合わせる必要があります。
放置するとどうなる
- CVSSが高いが、本当に自社で危険なのか分からない
- CVSSが低い脆弱性が攻撃経路上で危険になる可能性を見落とす
- 開発チームに「なぜこれを優先するのか」を説明しづらい
※ こわがらせたいわけではなく、優先順位を考える材料です。影響は環境によって異なります。
まず測ってほしい指標
- CVSS基準のみで優先順位づけされている脆弱性の割合
- 外部公開・権限情報を考慮した再優先順位づけの実施状況
Sysdig Secure ならこう変わる
Sysdigはランタイムインサイトを用いて、脆弱性やクラウドセキュリティリスクを優先順位付けします。スコアだけでは攻撃者が実際に悪用できる経路は分からないため、実行時文脈で今危険なものを見極めます。