SSVC設定方法
本ページではSSVCを利用するための設定をご案内します。
SSVC機能はCSIRTプランのみ対象です。
オーガニゼーション設定
この操作はオーガニゼーション管理者のみ実行可能です。
SSVC 設定
オーガニゼーション設定 > SSVC を開きます。
まず、「SSVCの機能を有効化」を選択します。
Priority変化時のトリガー&アクション
SSVC Priorityが導出された際、Priorityに応じてタスクのステータス・優先度・対応期限を更新できます。
SSVC Priorityについてはこちらをご確認ください。
SSVCのトリガー&アクションを変更した際はSSVCの再有効化が必要です。
Priority変化時のトリガー&アクションにて設定したアクションが適用されるのは、「スキャンによりSSVC Priorityに変化があった場合」のみです。例えば、新しくimmediateのアクションを設定した時、既にSSVC Priorityがimmediateなタスクには新しいアクションは適用されません。 既にSSVC導出済みのタスクにトリガー&アクションを実行したい場合は、まず「SSVCの機能を有効化」設定をOFFにて導出済みのSSVCをリセットしてください。その後、再度ONにし、トリガー&アクションを設定してから、再度スキャンを実行してください。スキャンが実行されたタイミングで新しいトリガー&アクションが適用されます。
ただし、「SSVCの機能を有効化」をOFFにした場合は、オーガニゼーション設定とグループ設定のSSVCに関する設定が初期化されますのでご注意ください。(近い将来改善予定です)
タスクステータス
アクション>タスクステータス を設定した場合、導出されたSSVC Priorityが更新されたタイミングで未対応・対応中・保留中のタスクの内容を更新します。
SSVC Priorityが新たに immediate, out of cycle の優先度が高いPriorityと判定された場合はタスクステータスを自動でnewに戻すことができます。newのタスクは脆弱性一覧・タスク一覧上のサブメニュー上で「未対応」ステータスに振り分けられますので、再度トリアージが必要なタスクであると認識出来ます。
scheduled, defer といった優先度が低いと判断されたタスクに対しては、自動でタスクステータスを defer や risk_accepted に設定可能です。
SSVCによって更新されうるタスクステータスは、タスクステータスが下記以外のものです。
- NOT_AFFECTED
- RISK_ACCEPTED
- PATCH_APPLIED
なお、タスクステータスの種類についてはタスクステータスをご確認ください。
優先度
優先度を設定した場合、タスクの優先度をSSVC Priority導出タイミングで自動反映します。
対応期限
SSVC Priorityを導出したタイミングで、自動でタスクの対応期限を更新します。対応期限を超過したタスクは一覧やメール通知で確認可能で、これにより対応漏れを防ぐことができます。
immediate, out of cycleは優先度が高く定期メンテナンス外で対応すべきであるため、SSVC Priority導出から〇日後、という指定をしてください。
scheduled, deferについては定期メンテナンスで対応すれば十分なタスクであるため、定期メンテナンスの周期をcron式で指定してください。
対応期限は下記のいずれか1つ以上に該当する場合、更新されます。
- 対応期限が未設定である場合
- 現在設定されている対応期限がスペシャル警戒タグにより自動設定されたものでなく、かつ現在設定されているよりも期限が短くなる場合
Priorityカスタマイズ
SSVC決定木のカスタマイズをします。
基本的にはデフォルトの決定木が設定済ですが、実運用の中で、SSVCの導出結果を変更する必要があると判断した場合にカスタマイズしてください。
決定木をカスタマイズした場合、次回スキャン時にタスクのSSVC Priorityが反映されます。 次回の定期スキャンを待つか、お急ぎの場合は「グループ設定>全サーバを手動スキャン」より再度スキャンしてください。
グループ設定
グループ設定では、DecisionPointの設定(必須)と、一部オーガニゼーションで設定した項目の上書き設定(任意)が可能です。
DecisionPoint
DecisionPointとは、SSVC導出に利用する設定値です。
Exposure(脆弱なコンポーネントの露出レベル)、Utility Density(対象システムの価値密度)、Human Impact(攻撃された際の業務影響)を設定してください。 なお、脆弱性情報から判断できるものはFutureVulsにて自動で設定するため、ユーザが設定することはありません。
ユーザの手動設定が必要なDecisionPoint
管理対象のシステム環境に合わせてユーザが設定する必要のあるDecisionPointは3つです。
- Exposure
- Utility Dencity
- Human Impact
それぞれの設定方法について説明します。
Exposure, Utility, HumanImpactを変更した場合、次回スキャン時にタスクのSSVC Priorityが反映されます。 次回の定期スキャンを待つか、お急ぎの場合は「グループ設定>全サーバを手動スキャン」より再度スキャンしてください。
Exposureの設定方法
Exposureは対象システムのインターネット露出レベルを設定するDecisionPointです。
| Exposureの値 | 説明 |
|---|---|
| small | ローカルサービスや高度に制御されたネットワーク上のシステム |
| controlled | 攻撃を検知でき十分な速さで対応できる制御されたシステム |
| open | インターネットから制限なしにアクセス可能なシステム |
Utility Densityの設定方法
Utility Densityは対象システムの価値密度を設定するDescisionPointです。
| Utility Densityの値 | 説明 |
|---|---|
| diffuse | 重要情報が集中していない(例:社員PC) |
| concentrated | 重要情報が集中している(例:サーバ、データベース) |
Human Impactの設定方法
Human Impactは攻撃された際の業務影響を設定するDescisionPointです。
| Human Impactの値 | 説明 |
|---|---|
| Low | 影響がほぼない(例:PC, 開発環境) |
| Medium | 基幹業務には影響がない(例: 勤怠管理システム) |
| High | 一つの基幹業務に長期間影響が出る(例: 一つの基幹システム、一つのWebサービス) |
| Very High | 複数の基幹業務が停止し会社全体の基幹業務が続行不能で回復不能になるような超重要システム。(例: オンランバンキングやトレーディングシステムなど) |
Human Impactの設定の考え方は、FutureVulsブログの「SSVCにおける Human Impact 決定方法例」を参照してください。
FutureVulsが自動で導出するDecisionPoint
FutureVulsが自動で導出するDecisionPointは Exploitatioin と Utility Automatable の2つです。それぞれの導出方法を説明します。
Exploitation導出方法
Exploitationは攻撃コードの有無とその信頼性を評価するDecisionPointです。
FutureVulsでは下記のロジックで判定します。
| Exploitationの値 | 説明 |
|---|---|
| active | CISA Known Exploited Vulnerabilities Catalog(CISAが公開している、攻撃コードが公開されており、その悪用事例があるリスト)の対象の脆弱性 |
| poc | 上記に該当しない攻撃コードが存在している |
| none | 攻撃コードが検知されていない |
Utility Automatable導出方法
Utility Automatableは攻撃者が攻撃を自動化できるかを判定するDecisionPointです。
FutureVulsでは、2022年9月時点では下記の1. 2の条件に合致するものを自動化可能と判定します。
- まずRCE候補の脆弱性をリストアップします。
- MSRC で公開されている脆弱性情報の場合、製品への影響説明としてRemote Code Executionと表記されているもの
- 各脆弱性データベースの脆弱性についての概要欄にリモートで任意コードが実行可能であると記載されているもの
- リストアップされたRCE候補のCVEをさらにフィルタします
- CVSS(v2/v3いずれか)のベクタから自動化可能であると判断できるもの。具体的には下記の通り
- CVSSv3
- 攻撃元区分(AV)がネットワーク(N)
- 必要な特権レベル(PR)が不要(N)
- ユーザ関与レベル(UI)が不要(N)
- CVSSv2
- 攻撃元区分(AV)がネットワーク(N)
- 必要な特権レベル(PR)が不要(N)
- 攻撃前の認証要否(Au)が不要(N)
- CVSSv3
Priority変化時のトリガー&アクション(グループ)
基本的にはオーガニゼーション単位で設定しますが、実運用の中で特定のグループで個別に設定する必要がある場合、グループ単位でオーガニゼーション設定を上書き設定可能です。 なお上書き設定した場合、オーガニゼーション設定画面でどのグループがどの設定を上書き設定しているか、一覧確認が可能です。
Priorityカスタマイズ(グループ)
SSVC決定木のカスタマイズをします。
基本的にはオーガニゼーションの決定木が反映されますが、実運用の中で、SSVCの導出結果をグループ個別で変更する必要があると判断した場合にこちらをカスタマイズしてください。
ロール設定
ロール設定では、DecisionPointの各ロールごとの上書き設定(任意)が可能です。 設定した場合、そのロールに所属するグループのDecisionPointは設定した値に上書きされます。 デフォルト値はそれぞれのグループのDecisionPointの値です。
デフォルト値とリセットボタン
初期状態ではデフォルト値として、下記キャプチャのようにそれぞれのグループのDecisionPointの値が反映されます。 ロールごとのDecisionPointの値を設定後、それぞれのグループのDecisionPointの値に戻したい場合は、 右上に表示されるリセットボタンを押下することでリセットが可能です。
