SSVCとは

SSVCとは

SSVC(Stakeholder-Specific Vulnerability Categorization)とは、脆弱性管理のためのフレームワークです。詳細はこちらをご参照ください。

CSIRT Planではより高度な自動トリアージ機能をご利用いただけます。SSVCを用いることで実際のリスクを導出して、事前に設定したルールをもとにタスク優先度、タスク対応期限、タスクステータスなどの具体的な対応内容を自動決定できるようになります。

ここでは、FutureVuls上でSSVCがどのように機能するかをご紹介します。

検知した脆弱性を4つのリスクレベルに分類

SSVCによって、FutureVulsで管理しているタスクを下記4つの優先順位付けします。

 SSVC Priority 内容
Immediate すべてのリソースを集中し必要に応じて組織の通常業務を停止して可能な限り迅速に対応する
Out-of-Cycle 通常よりも迅速に行動し、計画外の機会に緩和策または修復策を実施する
Scheduled 定期メンテナンス時に対応する
Defer 現時点では対応しない

この優先順位付け(以降、SSVC Priorityと表現します)に応じて、優先度の高いものを即座に対応する、または優先度の低いものや放置しても問題ないものは保留にとどめておく、といった対応が可能になります。 FutureVulsでは、対象をスキャンし脆弱性検知したタイミングで、各タスクに対してこのSSVC Priorityを導出します。

SSVC Priorityの導出方法

SSVC Priorityの導出にはSSVC決定木を用います。 具体的には、下記5つの項目(以降、DecisionPointと表現します)の組み合わせを考慮し、その結果SSVC Priorityを導出します。

 DecisionPoint 内容 設定方法
Exploitation 攻撃コードの公開有無や悪用のレベル 自動で導出
Exposure 脆弱なコンポーネントの露出レベル 手動で設定
Utility Density 対象システムの価値密度 手動で設定
Utility Automatable 攻撃の自動化 自動で導出
Human Impact 攻撃された際の業務影響 手動で設定

なお、FutureVulsでは脆弱性に関するDecisionPoint(Exploitation, Utility Automatable)はFutureVulsが収集している情報をもとに自動で導出されます。
それ以外の項目はグループ単位で設定可能です。設定方法についてはSSVC設定方法を参照してください。

SSVCを用いた高度な自動トリアージ

SSVC Priorityが「前回と異なる場合に実行するアクション」を定義可能です。導出されたPriorityに応じてタスク情報を自動操作できます。Immediateの場合はタスク優先度をHighにして対応期限を3日後に設定といったような自動設定することでさらなる自動化・省力化が可能となります。

詳細は、CSIRT Plan>自動トリアージ>SSVCを用いた高度な自動トリアージを参照してください。