[市場動向]

2026年6月19日(金)IT Leaders編集部、日川 佳三

シェアする

リスト

　日立製作所は、システム脆弱性対応の優先度を事業影響に基づいて自動判断する手法を開発した。限られた人員でも重要な脆弱性に優先的に対応できるようにすることを目指している。今後、プロトタイプを用いた実証実験を通じて有効性を検証し、実用化に向けた検討を進める（図1）。

図1：従来の脆弱性対応との比較と、今回の手法を活用した対応自動化の流れ（出典：日立製作所）
拡大画像表示

　脆弱性評価には、技術的な深刻度を数値で示す指標「CVSS（共通脆弱性評価システム）」や、事業影響も踏まえて対応方針を判断する「SSVC（ステークホルダーに特化した脆弱性分類）」が広く用いられている。

　両指標について日立は、「CVSSは技術的なリスクを客観的に評価できる一方、システムごとに異なる業務・事業への影響を反映しにくく、対応優先度の判断には限界がある。SSVCは事業影響を踏まえて評価できるものの、手動での評価や関係者間の合意が必要となる場合が多く、迅速な判断や自動化に課題がある」と指摘する。

　今回開発した手法では、まず脆弱性の検知前に、対象システムで情報の機密性・完全性・可用性（CIA）が失われた場合の最悪事案を想定し、SSVCの事業影響評価（Human Impact）の結果を関係者間で合意・設定しておく。

　脆弱性を検知した際は、NVDなどの公開されている脆弱性情報データベースを参照し、CVSSの影響メトリクスから各脆弱性がCIAのどの要素にどの程度影響するかを自動で確認する。その結果を事前設定した最悪事案の評価と照らし合わせて、脆弱性ごとの事業影響を自動補正評価し、SSVCの総合判断として対応優先度を導く。

　これにより、脆弱性を検知するたびに関係者間で都度議論することなく、優先すべき対応を自動で判断できるようになる。また、判断結果に一貫性があるため、対応優先度の根拠を監査や取引先に対して示しやすくなる。

　また、チケット管理システムと連携することで、脆弱性管理の運用を自動化する。検証では、脆弱性の検知から、SSVCの判断に応じた作業登録・期限設定、期限付きチケット発行までを自動で行えることを確認したという。これまで担当者ごとに行っていた対応依頼を自動化・標準化することで、対応漏れを防ぎ、運用負荷の軽減につなげる。