第三者に説明可能な判断基準と運用自動化で、脆弱性対応体制の強化を支援

日立は、限られた人員でも重要な脆弱性に優先的に対応できるよう、システム脆弱性対応の優先度を事業影響に基づいて自動判断する手法を開発しました。
近年、サイバー攻撃の増加・高度化に伴い、脆弱性への迅速な対応が一層重要になっています。加えて、サプライチェーン全体でのセキュリティ対応強化が進む中、取引先や監査に対して判断根拠を示せる運用が求められています。従来、脆弱性評価には、技術的な深刻度を数値で示す指標(CVSS*1)と、事業影響も踏まえて対応方針を判断するSSVC*2が用いられてきました。CVSSでは、技術的なリスクを客観的にスコアで評価できる一方、システムごとに異なる業務・事業への影響を反映しにくく、優先順位付けが困難でした。SSVCでは、事業影響を踏まえた評価が可能であるものの、手動評価や関係者間の合意が必要となる場合が多く、迅速な判断や自動化に課題がありました。
今回の手法では、システムごとに想定されるSSVCの事業影響項目について、最悪の事案をあらかじめ設定し、脆弱性検知時にはCVSSによる技術的評価と組み合わせて対応優先度を自動的に判断します。これにより、事業面と技術面の両方の影響を踏まえた一貫性のある優先順位付けが可能となり、重要な脆弱性への迅速な対応と、監査や取引先などの第三者への判断根拠の提示を支援します。さらに、チケット管理システム*3と連携することで、検知から対応期限設定、チケット発行までを自動化し、進捗を管理・可視化できることを確認しました。この手法により、運用負荷を抑えながら、迅速な脆弱性対応を支援します。
今後、日立は本手法に用いる技術をLumada 3.0を支えるセキュリティ基盤技術の一つとして強化し、安心・安全なデジタル社会の実現をめざします。

*1 CVSS: Common Vulnerability Scoring System。脆弱性の深刻度を共通尺度で表す指標。国際的な非営利団体FIRST(Forum of Incident Response and Security Teams)によって管理。
*2 SSVC: Stakeholder-Specific Vulnerability Categorization。脆弱性の対応方針を、Exploit(悪用実績)、Exposure(露出度)、Automatable(攻撃の自動化可否)、Human Impact(組織のミッションと安全性への影響)などを分岐条件とする決定木により導くフレームワーク。カーネギーメロン大学により開発され、米国政府機関CISA(Cybersecurity and Infrastructure Security Agency)が推奨。
*3 チケット管理システム: 脆弱性対応などの作業をチケットとして起票し、担当・期限・進捗を管理する仕組み。

背景および課題

近年、企業や社会インフラを支えるシステムに対するサイバー攻撃が増加・高度化しています。AI技術の進展も背景に、システムの脆弱性を見つけ悪用するまでのスピードが加速しており、企業における脆弱性対応の迅速化が一層重要になっています。このような状況下で、脆弱性管理は事業継続性や社会的信頼に関わる重要な経営課題となっています。加えて、経済産業省と内閣官房国家サイバー統括室がサプライチェーン全体を対象としたSCS評価制度*4の構築方針を公表するなど、取引先や監査に対して、対応優先度の判断根拠を第三者に説明できる運用の重要性も高まっています。
こうした要請に対し、脆弱性の技術的な深刻度を評価するCVSSだけでは、業務やサービスへの影響を十分に反映できず、対応優先度の判断には限界がありました。また、SSVCの事業影響に関する評価項目においては、脆弱性の性質によって手動評価が必要になり、関係者間の調整を要することが課題でした。さらに、判断後の対応依頼や進捗管理も個別運用に依存しやすく、判断のばらつきや対応の遅れ、運用負荷の増大につながっていました。

*4 SCS評価制度: 経済産業省と内閣官房国家サイバー統括室が主導し、サプライチェーン全体のセキュリティ対策強化を目的とした任意の制度、「サプライチェーン強化に向けたセキュリティ対策評価制度」。

課題を解決するために開発した技術・ソリューションの特長

日立はこれまで、事業影響を踏まえたセキュリティ対策の意思決定を支援するセキュリティデジタルツイン*5の開発や実運用に取り組んできました。今回、その知見を活かし、システム脆弱性対応の優先度を自動判断する手法を開発しました。本手法は、SSVCの事業影響評価項目と、CVSSによる技術的評価を組み合わせ、さらにチケット管理まで自動化するものです。技術の特長は以下の通りです。

*5 業務継続性を担保したセキュリティ対策の設計を可能とするセキュリティデジタルツイン技術を開発 - 研究開発：日立

1. 事業への影響を基準に、脆弱性対応の優先度を自動で評価する技術
本技術は、脆弱性検知前に、SSVCにおける事業影響評価項目であるHuman Impact(HI)*6について、最悪の事案を事前に設定し、検知時にはCVSSの影響指標を用いて脆弱性ごとのHIを自動補正評価するものです。具体的には、対象システムにおいて、まず、情報の機密性・完全性・可用性(CIA*7)が失われた場合に想定される最悪事案のHIを評価し、その結果を関係者間で事前に合意・設定します。次に、脆弱性検知時には、各脆弱性について、公開されている脆弱性情報(NVD*8など)を参照し、技術的な影響の深刻度を示す指標(CVSS影響メトリクス*9)に基づいて、CIAへの影響を自動で確認します。これを事前に設定した最悪事案のHIと組み合わせることで、脆弱性ごとの事業影響(HI)を自動で補正評価し、その結果をSSVCの総合判断に用いることで、技術的な深刻度だけでなく、事業やサービスへの影響を踏まえた対応優先度の自動判断を可能にします。これにより、脆弱性が検知されるたびに関係者間で都度議論することなく、真に優先すべき対応に現場リソースを集中できる運用を実現します。また、一貫性のある判断結果のため、対応優先度の根拠を監査や取引先に対しても示しやすくなります。

*6 Human Impact(HI): SSVCにおける事業影響に関する判断項目であり、組織のミッションと安全性への影響を組み合わせて評価される。
*7 CIA: 情報セキュリティの基本要素であるConfidentiality(機密性)、Integrity(完全性)、Availability(可用性)。
*8 NVD: National Vulnerability Database。米国国立標準技術研究所(NIST)が運用する脆弱性情報データベース。
*9 CVSS影響メトリクス: CVSSの指標のうち脆弱性が機密性・完全性・可用性のそれぞれに与える影響(None/Low/High)。

2. チケット管理システムとの連携で脆弱性管理の運用を自動化する技術
本技術では、脆弱性対応の判断結果をチケット管理システムと連携させることで、脆弱性管理の運用を自動化します。具体的には、プロトタイプにより、脆弱性の検知から、HIを含むSSVCの判断に応じた作業登録・期限設定、期限付きチケット発行までを自動で行えることを確認しました。これにより、従来は担当者ごとに個別に行っていた対応依頼を標準化し、チケット管理システム上で脆弱性対応の進捗を一元的に管理・可視化でき、対応の遅延やボトルネックを特定しやすくなります。その結果、対応漏れの防止や運用負荷の軽減につながり、迅速な脆弱性対応や管理の継続的な運用改善を支援します。

画像: 図1 従来の脆弱性対応との比較と、今回の手法を活用した対応自動化の流れ — 図1 従来の脆弱性対応との比較と、今回の手法を活用した対応自動化の流れ

今後の展望

今後、プロトタイプを用いた実証実験を通じて、判断根拠を示しながら迅速な脆弱性対応と運用負荷低減を両立する自動運用の有効性を検証し、実用化に向けた検討を進めます。これにより、限られた人員でも継続的に運用しやすい脆弱性対応体制の強化を支援していきます。日立は、本手法に用いる技術をLumada 3.0を支えるセキュリティ基盤技術の一つとして強化し、安心・安全なデジタル社会の実現をめざします。
なお、本成果の詳細は、2026年5月初めにIEICE Communications Express(IEICE ComEX)に公開*10されました。

*10 Tsuji et al., “Automating SSVC: A worst-case scenario approach for evaluating human impact of vulnerabilities”, IEICE Communications Express vol. 15, pp. 156-159, 2026.