Threats, Vulnerabilities, and Risk — CVE, CVSS 4.0, ATT&CK, and Risk Management(脅威・脆弱性・リスク)

article technology medium #cybersecurity#cve#cvss#cwe#mitre-attck#kill-chain#risk-management#vulnerability-management#threat-modeling#stride
Created: 2026-05-31 Updated:

脅威・脆弱性・リスクの三角関係を基礎概念から整理し、CVE/CVSS 4.0/CWE/CPE による脆弱性評価体系、Cyber Kill Chain と MITRE ATT&CK v19.1 による攻撃フレームワーク、STRIDE 脅威モデルとリスク管理手法を地図化する。

Threats, Vulnerabilities, and Risk — CVE, CVSS 4.0, ATT&CK, and Risk Management(脅威・脆弱性・リスク)

セキュリティ投資の優先順位を正しく設定するには、「何が起こりうるか(脅威)」「どこに弱みがあるか(脆弱性)」「どれだけ問題か(リスク)」を区別して考える枠組みが不可欠だ。この三角関係を整理する語彙が CVE・CVSS・CWE・Kill Chain・ATT&CK・脅威モデルであり、リスク管理はこれらを統合した意思決定プロセスだ。情報カットオフ ~2025-08、confidence: medium 固定。以下の版数情報は 2026-05 時点での外部再検証では NIST/FIRST/MITRE の公式ページに準拠。

リスク = 脅威 × 脆弱性 × 影響の枠組み

脅威(Threat): 資産に害を与えうる潜在的な出来事や主体。外部攻撃者・内部脅威・自然災害・人的ミスが含まれる。

脆弱性(Vulnerability): 脅威が悪用できる弱点。ソフトウェアのバグ・設定ミス・設計欠陥・人的要因が代表例。

影響(Impact): 脅威が脆弱性を悪用した場合に生じる損害。機密情報漏えい・サービス停止・財務損失・信用失墜などで測定する。

リスク(Risk): 脅威が実際に発生する確率と影響の積。定量評価(ALE = ARO × SLE: 年間損失期待値 = 年次発生率 × 一次損失期待値)と定性評価(高・中・低のマトリクス)がある。

この枠組みにより、脆弱性が存在しても対応する脅威がなければリスクは低く、脅威が存在しても脆弱性がなければリスクも低いという判断が可能になる。すべての脆弱性を即座に修正しようとするのではなく、リスクが高い順に優先度を付けることがリスク管理の本質だ。

脆弱性の識別と評価体系

CVE(Common Vulnerabilities and Exposures)

MITRE が管理し NVD(National Vulnerability Database)が拡充する脆弱性の一意識別体系。CVE-YYYY-NNNNN 形式(例: CVE-2021-44228 は Log4Shell)で個々の脆弱性を識別する。CVE ID の発行は CNA(CVE Numbering Authority)が担い、ベンダー・研究機関が CNA として登録されている。

CVE は「何が」脆弱かを識別するが、「どれだけ深刻か」は CVSS に委ねる設計になっている。

CVSS 4.0(Common Vulnerability Scoring System)

FIRST(Forum of Incident Response and Security Teams)が策定するスコアリング標準。2023-11-01 にリリースされた CVSS 4.0 は、Base・Threat・Environmental・Supplemental の 4 指標グループを持つ。

  • Base 指標: 脆弱性固有の特性(攻撃ベクタ・複雑度・必要権限・ユーザー操作・機密性/完全性/可用性への影響)。ベンダーや NVD が割り当てる。
  • Threat 指標: エクスプロイトコードの成熟度など時間的要素。CVSS 3.x の Temporal を改称・再設計。
  • Environmental 指標: 導入環境固有の修正係数。利用側組織が設定する。
  • Supplemental 指標: Safety・Automatable・Recovery など追加コンテキストを表す非スコア情報(CVSS 4.0 新設)。

CVSS スコアは 0.0〜10.0 で表され、9.0 以上を Critical、7.0〜8.9 を High と区分する(CVSS 3.x 区分を継承)。

CVSS の限界: スコアは脆弱性固有の深刻度であり、悪用可能性の現実・資産の重要性・既存の緩和策を反映しない。CVSS スコアだけで修正優先順位を決めることは過剰・過小な対応を招くため、KEV(CISA の Known Exploited Vulnerabilities)カタログや EPSS(Exploit Prediction Scoring System)を組み合わせて判断する。

CWE(Common Weakness Enumeration)

MITRE が管理するソフトウェア・ハードウェアの弱点分類体系。CVE が「特定の脆弱性インスタンス」を指すのに対し、CWE は「弱点の種類」を分類する。CWE-89(SQL インジェクション)・CWE-79(XSS)のような形式で参照される。

CWE Top 25 2025 年版(2025-12-11 公開): 2024-06〜2025-06 の 39,080 件の CVE に基づいて集計。1 位: CWE-79(XSS)、2 位: CWE-89(SQL インジェクション)、3 位: CWE-352(CSRF)。開発側はこのリストを設計・コードレビュー・SAST チェックの指針として使用する。

CPE と脆弱性スキャン

CPE(Common Platform Enumeration)は OS・アプリケーション・ハードウェアの標準識別体系で、NVD の脆弱性検索に使われる。脆弱性スキャナ(Nessus・Qualys・Trivy など)は CPE ベースで資産を識別し、対応する CVE を照合してレポートを生成する。

ゼロデイと N-day: ゼロデイ(0-day)は修正パッチが存在しない状態で悪用される脆弱性。公開後パッチ適用前の期間を N-day と呼ぶ。実際の攻撃の大半は公知の N-day 脆弱性(KEV にリストされた既知の悪用済み脆弱性)であり、既知の脆弱性を迅速にパッチする運用が最も費用対効果が高い。

攻撃経路の分析

Cyber Kill Chain(サイバーキルチェーン)

Lockheed Martin が 2011 年に提唱した 7 段階の攻撃モデル。攻撃の各段階を定義し、どの段階で検知・遮断できるかを分析する枠組み。

  1. Reconnaissance(偵察): 標的の情報収集(OSINT・ポートスキャン・フィッシング調査)
  2. Weaponization(武器化): エクスプロイトとマルウェアを組み合わせた攻撃ツールの作成
  3. Delivery(配送): メール添付・USB・Web ドライブバイなどで標的に届ける
  4. Exploitation(悪用): 脆弱性を悪用してコードを実行
  5. Installation(インストール): マルウェアをインストールし持続性(Persistence)を確立
  6. Command and Control(C2): 攻撃インフラとの通信チャネルを確立
  7. Actions on Objectives(目的達成): データ持ち出し・ランサム・破壊などの最終目標実行

Kill Chain の思想は「早い段階で止めるほど被害が小さい」であり、各段階に対応した検知・対策を設計する。

MITRE ATT&CK v19.1

MITRE が管理する攻撃者の戦術(Tactics)・技術(Techniques)・手順(Procedures)の知識ベース。現行バージョンは v19.1(2026-04-28 リリース)

v18.0(2025-10-28)の主要変更: 従来の Detections / Data Sources を Detection Strategies と Analytics に置換。検知のアプローチがより体系的になり、ATT&CK for ICS・Mobile を含む複数マトリクスをカバーする。

ATT&CK はエンタープライズ・モバイル・ICS(産業制御システム)の 3 マトリクスを持ち、各マトリクスで Tactics(横軸: 攻撃者の目的)と Techniques(縦軸: 具体的手法)が格子状に整理されている。Red Team(攻撃側)・Blue Team(防御側)の両方の計画に使われる。

ATT&CK の限界: v19.1 は 実際に観測された技術を列挙するが、すべての攻撃手法を網羅しているわけではない。新しい手法が観測されるたびに追加されるため、常に不完全なスナップショットだ。「ATT&CK に載っていない攻撃は存在しない」と誤解してはならない。

侵入経路と横展開

代表的な初期侵入経路: フィッシング(BEC・スピアフィッシング)・脆弱性悪用(CVE)・認証情報漏えい(パスワードリスト攻撃・クレデンシャルスタッフィング)・サプライチェーン攻撃(SolarWinds 型)。

初期侵入後の典型的な行動パターン: 権限昇格(Privilege Escalation)→ 内部偵察(Discovery)→ 横展開(Lateral Movement)→ C2 確立 → データ持ち出し(Exfiltration)。横展開対策の詳細は tech-117 を参照。

脅威モデル(Threat Modeling)

脅威モデリングは設計段階で「何が攻撃されうるか」を体系的に特定する手法だ。

STRIDE: Microsoft が開発した 6 カテゴリの脅威分類フレームワーク。各英字がカテゴリの頭文字: Spoofing(なりすまし)・Tampering(改ざん)・Repudiation(否認)・Information Disclosure(情報開示)・Denial of Service(DoS)・Elevation of Privilege(権限昇格)。データフロー図(DFD)とともに使い、システムの各コンポーネントに STRIDE を適用して脅威を列挙する。

PASTA(Process for Attack Simulation and Threat Analysis): 7 段階のリスク中心の脅威モデリング手法。ビジネスリスクと技術的脅威を結びつける。

攻撃木(Attack Tree): 根ノードを「攻撃者の最終目標」とし、そこに至る手法を木構造で分解する。複数の攻撃経路を視覚化し、どの経路を遮断すればコスト効果が高いかを分析する。

リスク管理の意思決定

リスクが特定・評価されたら、4 つの対応オプションから選択する。

1. リスク低減(Mitigation): 脆弱性にパッチを当てる・認証を強化するなど、リスクの発生確率または影響を下げる。最も一般的な対応だが、完全に排除することは通常不可能。

2. リスク移転(Transfer): サイバー保険の購入・外部委託など、リスクの財務的影響を第三者に転嫁する。リスク自体は存在し続ける。

3. リスク受容(Acceptance): リスクが許容範囲内と判断し、意図的に対策を取らないという選択。低リスク資産・費用対効果が合わない場合の意思決定。経営層による明示的な承認が必要。

4. リスク回避(Avoidance): リスクの根本原因となる活動そのものを止める。例: 過度にリスクが高い機能を廃止する。

脆弱性管理の優先順位付け: CVSS スコアのみで優先度を決めることは前述の通り問題がある。実践的なアプローチは、CISA KEV リストに掲載された「悪用済み脆弱性」を最優先にパッチし、次に EPSS スコアが高いものを対処する。社内での資産重要度分類(クリティカル・高・中・低)と組み合わせることで、コスト効果の高い優先順位を算出できる。

アンチパターン表

AP誤った前提結果
AP-1CVSS スコアだけで修正優先順位を決定実際に悪用されていない高スコア脆弱性を先に対処し、実際の攻撃に乗じた低スコアを放置
AP-2ATT&CK に載っていない攻撃は存在しない新手法や ATT&CK 未収録技術への検知ロジックを設けない
AP-3リスク受容を「何もしない」と混同経営承認なしの放置。事後の説明責任が取れない
AP-4脅威モデリングを開発完了後に実施設計変更が困難な段階で脅威が発覚し、修正コストが急増
AP-5全脆弱性をゼロにしようとする無限の優先度付けと過剰投資。リスクの概念なしでは持続不可能

まとめ

脅威・脆弱性・リスクの三角関係を理解することで、限られたセキュリティ投資を最も重要なリスクに集中させる判断基準が生まれる。CVE/CVSS 4.0/CWE は「何が弱いか」を定義し、Kill Chain と MITRE ATT&CK v19.1 は「攻撃者がどう動くか」を地図化する。脅威モデル(STRIDE)と 4 つのリスク対応オプションはこれらを統合した設計・経営判断の枠組みだ。セキュリティフレームワーク(NIST CSF 2.0 など)での体系化は tech-119 を参照。

Local graph