SSVC#
ここでは SSVC の概念や登場した背景に関する説明をします。
FutureVuls で実装している SSVC の仕様については「マニュアル」を参照してください。
SSVCとは#
SSVC(Stakeholder-Specific Vulnerability Categorization)は、従来のCVSSスコアベースでの脆弱性対応方の課題を解決するために、米カーネギーメロン大学ソフトウェア工学研究所によって考案された最新の脆弱性対応のためのフレームワークです。 2022年には、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)がSSVCのような実際のリスクベースでの脆弱性対応を推奨しています。
FutureVulsは「2022年9月リリース」にて、商用サービスとして世界ではじめてSSVCに対応しました(プレスリリース)。
FutureVulsに搭載されたSSVCエンジンは、検知した脆弱性を実際のリスクをもとにして優先度を自動で導出します。さらに運用者への対応指示まで自動化できます。 FutureVulsでのSSVCを用いた日々の運用方法については「脆弱性管理の運用フロー」を参照してください。
SSVCの登場#
CVSSの課題を解決するために、カーネギーメロン大学が提案したフレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)」が登場しました。 SSVCは、脆弱性リスクを多面的に評価し、リスクに応じた対応優先度を自動的に判断します。
SSVCの基本構成#
SSVCでは、以下の4つの情報を基にリスクを分析します。
| 項目 | 説明 |
|---|---|
| インターネット露出度 | システムが外部からアクセス可能かどうか |
| ビジネスへの影響 | 攻撃を受けた場合の業務への影響の大きさ |
| 攻撃状況 | 実際に攻撃が確認されているかどうか |
| 自動化可能性 | 脆弱性がどの程度自動攻撃に利用可能か |
自動で導出される4段階の優先度#
| SSVC優先度 | 内容 |
|---|---|
| Immediate | 最優先で対応。必要なら通常業務を停止して対処する |
| Out-of-Cycle | 定期作業以外で迅速に対応 |
| Scheduled | 定期メンテナンス時に対応 |
| Defer | 現時点では対応せず、リスクを受容する |
SSVCをさらに学ぶ#
下記のページでSSVCの詳細やFutureVulsへの組み込みのイメージなどを解説しています。
| 種別 | url | 備考 |
|---|---|---|
| マニュアル | SSVC | |
| ブログ | SSVC の基本知識解説 | SSVCの有用性と適用方法についての解説記事 |
| ブログ | SSVC v2.1 徹底解説 | SSVC v2.1 の解説や変更点 |
| ブログ | Vulsまつり#10 SSVCデモ | 実際の運用に役立つデモを紹介しています |
| ブログ | SSVC DeepDive 脆弱性祭り | SSVCの詳細な解説を動画付きで学べます |
| ブログ | SSVCにおける Human Impact 決定方法例 | 業務影響(Human Impact)の設定例を解説 |
| ブログ | インターネット露出サーバの自動特定とSSVC Exposure設定ガイド | 自動化可能性(Automatable)の設定例を解説 |
| ブログ | バーチャル情シス「須藤あどみん」のYoutubeに出演し、脆弱性管理全般やSSVCの解説などをしました | 動画での具体的な説明を視聴できます |
| 動画 | 最新の脆弱性トリアージフレームワーク SSVC の概要とFutureVulsでの実装例 Vuls祭り#6 | SSVCをテーマにしたYouTube動画 |
| パンフレット | FutureVulsパンフレット |
SSVC決定木を試しに使う#
FutureVuls の SSVC のデフォルト決定木は「CERT/CC のDeployer Tree」と同じ構成です。サイト上で以下の手順で決定木の詳細を確認できます:
- Mode: Graphic > SSVC Calc App: Deployer を選択。
- Show Full Tree を指定。