[市場動向]
「CVSSスコア依存からリスクベース対策へ」─Tenableが脆弱性対策の質的転換を提言
2025年11月6日(木)日川 佳三(IT Leaders編集部)
Tenable Network Security Japanは2025年11月5日、都内で説明会を開き、日本企業による脆弱性対策の現状を調査した結果を報告した。脆弱性管理ツールの導入率は2024年(18~22%)から2025年(32%)に向上したという。同社は今後の脆弱性監視について、量的監視から質的監視への転換が大切であり、CVSSスコアに依存せずビジネスに与える影響などリスクベースで優先度を決める必要があると指摘した。
脆弱性診断ソフトウェアベンダーの米Tenable(テナブル)。その日本法人、Tenable Network Security Japanは、日本企業による脆弱性対策の現状を調査した結果を報告した(関連記事:AI活用に伴うデータの増大と拡散がリスクに─TenableのCNAPPにデータ/AIセキュリティの新機能)。
調査によると、脆弱性管理ツールの導入率は2024年(18~22%)から2025年(32%)に向上。世界平均(82%)よりかなり低いものの拡大傾向が見られる。また、今後の導入/利用を検討している企業が38%を占めている(図1)。
図1:日本企業による脆弱性対策の現状を調査した結果(出典:Tenable Network Security Japan)拡大画像表示
また、2024年のグローバル調査による脆弱性スキャン対象・頻度も示した。全IT資産のほとんど(85%以上)をスキャンしている企業は25%しかなく、1~44%しかスキャンできていない企業が15%に上る。頻度については、毎日はわずか2%で、週1回以上は全体の34%、月1回以上は全体の78%、四半期に1回が15%、年1回が7%という。
写真1:Tenable Network Security Japan カントリーマネジャーの貴島直也氏拡大画像表示
今後の脆弱性監視について、Tenable Network Security Japanのカントリーマネジャー、貴島直也氏(写真1)は、「量的監視から質的監視への転換が大切」と指摘する。「脆弱性の技術的危険度を表したCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)のスコアだけに依存することなく、リスクベースで実際にビジネスに与える影響から優先度を決める必要がある」と指摘した。
写真2:米Tenable バイスプレジデントのギャビン・ミラード氏拡大画像表示
米Tenableのバイスプレジデント、ギャビン・ミラード(Gavin Millard)氏(写真2)も「CVSSはあまり役に立たない」とした。同氏はユーザー企業のセキュリティ担当者に向けて、自社のシステムに関係する脆弱性のうち、実際に攻撃を受ける可能性が高いものや、攻撃者が実際に攻撃に利用しているものを特定して優先的かつ予防的に対策をとることで、脆弱性対策のコストを削減できると助言した。
「すべての重大な侵害ニュースの背後には既知の脆弱性がある。これまでに30万件の脆弱性が開示されているが、悪用の可能性があるものは2%を切っている。この2%を特定することで、脆弱性にパッチを当てて修復する負荷の多くを削減できる」(ミラード氏)
