SSVC

SSVC（Stakeholder-Specific Vulnerability Categorization）は、従来のCVSSスコアベースでの脆弱性対応方の課題を解決するために、米カーネギーメロン大学ソフトウェア工学研究所によって考案された最新の脆弱性対応のためのフレームワークです。2022年には、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）がSSVCのような実際のリスクベースでの脆弱性対応を推奨しています。

FutureVulsは2022年9月リリースにてにSSVCに対応しました。

• プレスリリース

FutureVulsに搭載されたSSVCエンジンは、検知した脆弱性を実際のリスクをもとにして優先度を自動で導出ます。さらに運用者への対応指示まで自動化できます。

FutureVulsでのSSVCを用いた日々の運用方法については「チュートリアル>自動トリアージ」を参照してください。

設定方法の詳細は下記のページを参照してください。

• SSVCの説明: FutureVulsでSSVCを利用するにあたり、SSVCそのものの説明や導出にかかる仕様などを記載しています。
• SSVC設定方法: FutureVuls上でSSVCを利用するための設定方法をまとめています。

また、下記のページでSSVCの詳細やFutureVulsへの組み込みのイメージなどを解説しています。

• 機能詳細＞SSVC
• Blog>脆弱性対応に有用なSSVCと、適用について
• Youtube>最新の脆弱性トリアージフレームワーク「SSVC」の概要とFutureVulsでの実装例 Vuls祭り#6