SSVC設定方法

本ページではSSVCを利用するための設定をご案内します。

オーガニゼーション設定

SSVC設定画面

SSVC 設定

オーガニゼーション設定 > SSVC を開きます。
まず、「SSVCの機能を有効化」を選択します。

Priority変化時のトリガー&アクション

SSVC Priorityが導出された際、Priorityに応じてタスクのステータス・優先度・対応期限を更新できます。
SSVC Priorityについてはこちらをご確認ください。

タスクステータス

アクション>タスクステータスを設定した場合、SSVC Priorityが導出されPriorityが更新されたタイミングで未対応・対応中・保留中のタスクの内容を更新します。

SSVC Priorityが新たにimmediate, out of cycleの優先度が高いPriorityと判定された場合はタスクステータスを自動でnewに戻すことができます。newのタスクは脆弱性一覧・タスク一覧上のサブメニュー上で「未対応」ステータスに振り分けられますので、再度トリアージが必要なタスクであると認識出来ます。

scheduled, deferといった優先度が低いと判断されたタスクに対しては、自動でタスクステータスをdeferrisk_acceptedに設定可能です。

優先度

優先度を設定した場合、タスクの優先度をSSVC Priority導出タイミングで自動反映します。

対応期限

SSVC Priorityを導出したタイミングで、自動でタスクの対応期限を更新します。対応期限を超過したタスクは一覧やメール通知で確認することが可能で、これにより対応漏れを防ぐことができます。
immediate, out of cycleは優先度が高く定期メンテナンス外で対応すべきであるため、SSVC Priority導出から〇日後、という指定をしてください。 scheduled, deferについては定期メンテナンスで対応すれば十分なタスクであるため、定期メンテナンスの周期をcron式で指定してください。

トリガー&アクション機能の注意事項

Priority変化時のトリガー&アクションにて設定したアクションが適用されるのは、「スキャンによりSSVC Priorityに変化があった場合」のみです。例えば、新しくimmediateをトリガーとしたアクションを設定した時、既にSSVC Priorityがimmediateなタスクには適用されません。

設定したトリガー&アクションを、既にSSVC Priorityが計算されているタスクに対して再反映したい場合は、「SSVCの機能を有効化」設定をOFFにしたのち、再度ONにし、トリガー&アクションを設定してからスキャンを実行してください。

Priorityカスタマイズ

SSVC決定木のカスタマイズをします。
基本的にはデフォルトの決定木が設定済ですが、実運用の中で、SSVCの導出結果を変更する必要があると判断した場合にカスタマイズしてください。

グループ設定

SSVC設定画面

グループ設定では、DecisionPointの設定(必須)と、一部オーガニゼーションで設定した項目の上書き設定(任意)が可能です。

DecisionPoint

DecisionPointとは、SSVC導出に利用する設定値です。
Exposure(脆弱なコンポーネントの露出レベル), Utility Density(対象システムの価値密度), Human Impact(攻撃された際の業務影響)を設定してください。 なお、脆弱性情報から判断できるものはFutureVulsにて自動で設定するため、ユーザが設定することはありません。

ユーザの手動設定が必要なDecisionPoint

管理対象のシステム環境に合わせてユーザが設定する必要のあるDecisionPointは3つです。

  • Exposure
  • Utility Dencity
  • Human Impact

それぞれの設定方法について説明します。

Exposureの設定方法

Exposureは対象システムのインターネット露出レベルを設定するDecisionPointです。

 Exposureの値 説明
small ローカルサービスや高度に制御されたネットワーク上のシステム
controlled 攻撃を検知でき十分な速さで対応できる制御されたシステム
open インターネットから制限なしにアクセス可能なシステム

Utility Densityの設定方法

Utility Densityは対象システムの価値密度を設定するDescisionPointです。

Utility Densityの値 説明
diffuse 重要情報が集中していない(例:社員PC)
concentrated 重要情報が集中している(例:サーバ、データベース)

Human Impactの設定方法

Human Impactは攻撃された際の業務影響を設定するDescisionPointです。

Human Impactの値 説明
Low 影響がほぼない(例:PC, 開発環境)
Medium 基幹業務には影響がない(例: 勤怠管理システム)
High 一つの基幹業務に長期間影響が出る(例: 一つの基幹システム、一つのWebサービス)
Very High 複数の基幹業務が停止し会社全体の基幹業務が続行不能で回復不能になるような超重要システム。(例: オンランバンキングやトレーディングシステムなど)

FutureVulsが自動で導出するDecisionPoint

FutureVulsが自動で導出するDecisionPointはExploitatioinUtility Automatableの2つです。それぞれの導出方法を説明します。

Exploitation導出方法

Exploitationは攻撃コードの有無とその信頼性を評価するDecisionPointです。
FutureVulsでは下記のロジックで判定します。

 Exploitationの値 説明
active CISA Known Exploited Vulnerabilities Catalog (CISAが公開している、攻撃コードが公開されており、その悪用事例があるリスト)の対象の脆弱性
poc 上記に該当しない攻撃コードが存在している
none 攻撃コードが検知されていない

Utility Automatable導出方法

Utility Automatableは攻撃者が攻撃を自動化できるかを判定するDecisionPointです。
FutureVulsでは、2022年9月時点では下記の1. 2の条件に合致するものを自動化可能と判定します。

  1. まずRCE候補の脆弱性をリストアップします。
  • MSRC で公開されている脆弱性情報の場合、製品への影響説明としてRemote Code Executionと表記されているもの
  • 各脆弱性データベースの脆弱性についての概要欄にリモートで任意コードが実行可能である旨が記載されているもの
  1. リストアップされたRCE候補のCVEをさらにフィルタします
  • CVSS(v2/v3いずれか)のベクタから自動化可能であると判断できるもの。具体的には下記の通り
    • CVSSv3
      • 攻撃元区分(AV)がネットワーク(N)
      • 必要な特権レベル(PR)が不要(N)
      • ユーザ関与レベル(UI)が不要(N)
    • CVSSv2
      • 攻撃元区分(AV)がネットワーク(N)
      • 必要な特権レベル(PR)が不要(N)
      • 攻撃前の認証要否(Au)が不要(N)

Priority変化時のトリガー&アクション(グループ)

基本的にはオーガニゼーション単位で設定しますが、実運用の中で特定のグループで個別に設定する必要がある場合、グループ単位でオーガニゼーション設定を上書き設定することが可能です。 なお上書き設定した場合、オーガニゼーション設定画面でどのグループがどの設定を上書き設定しているか、一覧確認が可能です。

Priorityカスタマイズ(グループ)

SSVC決定木のカスタマイズをします。
基本的にはオーガニゼーションの決定木が反映されますが、実運用の中で、SSVCの導出結果をグループ個別で変更する必要があると判断した場合にこちらをカスタマイズしてください。