SSVC(Stakeholder-Specific Vulnerability Categorization)とは、脆弱性管理のためのフレームワークです。詳細はこちらをご参照ください。
SSVC機能はCSIRTプランのみ対象です。
CSIRT Planではより高度な自動トリアージ機能をご利用いただけます。SSVCを用いることで実際のリスクを導出して、事前に設定したルールをもとにタスク優先度、タスク対応期限、タスクステータスなどの具体的な対応内容を自動決定できるようになります。
ここでは、FutureVuls上でSSVCがどのように機能するかをご紹介します。
SSVCによって、FutureVulsで管理しているタスクを下記4つの優先順位付けします。
| SSVC Priority | 内容 |
|---|---|
| Immediate | すべてのリソースを集中し必要に応じて組織の通常業務を停止して可能な限り迅速に対応する |
| Out-of-Cycle | 通常よりも迅速に行動し、計画外の機会に緩和策または修復策を実施する |
| Scheduled | 定期メンテナンス時に対応する |
| Defer | 現時点では対応しない |
この優先順位付け(以降、SSVC Priorityと表現します)に応じて、優先度の高いものを即座に対応する、または優先度の低いものや放置しても問題ないものは保留にとどめておく、といった対応が可能になります。 FutureVulsでは、対象をスキャンし脆弱性検知したタイミングで、各タスクに対してこのSSVC Priorityを導出します。
SSVC Priorityの導出にはSSVC決定木を用います。 具体的には、下記5つの項目(以降、DecisionPointと表現します)の組み合わせを考慮し、その結果SSVC Priorityを導出します。
| DecisionPoint | 内容 | 設定方法 |
|---|---|---|
| Exploitation | 攻撃コードの公開有無や悪用のレベル | 自動で導出 |
| Exposure | 脆弱なコンポーネントの露出レベル | 手動で設定 |
| Utility Density | 対象システムの価値密度 | 手動で設定 |
| Utility Automatable | 攻撃の自動化 | 自動で導出 |
| Human Impact | 攻撃された際の業務影響 | 手動で設定 |
なお、FutureVulsでは脆弱性に関するDecisionPoint(Exploitation, Utility Automatable)はFutureVulsが収集している情報をもとに自動で導出されます。
それ以外の項目はグループ単位で設定可能です。設定方法についてはSSVC設定方法を参照してください。
SSVC Priorityの導出タイミングについて
FutureVulsではスキャンのタイミングでSSVC Priorityを導出します。
そのため、設定ページよりSSVCの設定を変更をしただけではタスクのSSVC Priorityは更新されません。
最新の設定をもとにSSVC Priorityを導出するためには下記の方法再スキャンしてください。
SSVC Priorityが「前回と異なる場合に実行するアクション」を定義可能です。導出されたPriorityに応じてタスク情報を自動操作できます。Immediateの場合はタスク優先度をHighにして対応期限を3日後に設定といったような自動設定することでさらなる自動化・省力化が可能となります。
詳細は、CSIRT Plan>自動トリアージ>SSVCを用いた高度な自動トリアージを参照してください。