脆弱性優先度・タスク優先度#
このマニュアルでは、脆弱性優先度とタスク優先度について説明します。
脆弱性とタスクの優先度について#
「脆弱性」と「タスク」には、4種類(HIGH / MEDIUM / LOW / NONE)の優先度が設定可能です。
これにより、脆弱性の緊急性やタスクの重要度をチーム全体に明確に伝え、適切な対応が可能になります。
各優先度の表記を組織のルールに合わせてカスタマイズできます。 これにより、既存の業務プロセスにある対応優先度のルールに FutureVuls の優先度を組み込めます。
脆弱性優先度#
脆弱性優先度の設定方法と各設定方法の使い分けについて説明します。
脆弱性優先度の設定#
| No | 設定種類 | 設定場所 | 「脆弱性優先度変更元」の表示 | スコープ | 必要な権限 | CSIRTプランのみ |
|---|---|---|---|---|---|---|
| 1 | スペシャル警戒タグ | オーガニゼーション設定 | スペシャル警戒タグ | オーガニゼーション全体 | オーナ | ☑️ |
| 2 | 脆弱性詳細での個別手動設定 | 脆弱性詳細 | 手動 | 特定グループ内 | グループメンバ以上 | |
| 3 | 自動脆弱性優先度設定 | オーガニゼーション設定 | 自動脆弱性優先度 | オーガニゼーション全体 | オーナ | ☑️ |
「脆弱性優先度」の値は、上記のテーブルの順番で採用されます。 上位で設定した優先度は、下位の設定で上書きできません。 例えば、以下のような場合が該当します。
- 「スペシャル警戒タグ」で設定された優先度は、下位の「脆弱性詳細での個別手動設定」では上書きできません。
- 「自動脆弱性優先度設定」で設定された優先度は、上位の「脆弱性詳細での個別手動設定」で変更できます。
CSIRTプランの場合の各脆弱性優先度設定の使い分け#
最初に一番優先度の低い「自動脆弱性優先度設定」を使用してオーガニゼーション全体の脆弱性に一定のルールで優先度を設定します。
その後、以下の基準での設定の使い分けをお勧めします
- 特定グループの特定の脆弱性の優先度を変更したい → 「脆弱性詳細での個別手動設定」
- オーガニゼーション全体で特定の CVE-ID の脆弱性の優先度を変更したい → 「スペシャル警戒タグ」
自動脆弱性優先度設定と重要フィルタの使い方
「自動脆弱性優先度設定」と 「重要フィルタ」を組み合わせて以下のような運用ができます。
自動脆弱性優先度設定
- セキュリティ部門が全社一括(オーガニゼーション全体)で設定する
- 条件を緩くすると、優先度が高い脆弱性が多くなり対応が間に合わなくなるので条件を厳しめに設定する
重要フィルタ
- 各部門(グループ単位)で設定する
-
その部門のシステム特有の条件に応じて柔軟に設定する
- 例: Microsoftのソフトウェアが多いシステムであれば Microsoft の CVSS Score の条件を9以上にする
- 例: 通信系のシステムでDNS運用しているなどのDos系攻撃に敏感な場合は条件に可用性を指定する
タスク優先度#
タスク優先度の設定方法と各設定方法の使い分けについて説明します。
タスク優先度のデフォルト設定
タスクが新規に作成されたとき、そのタスクに紐づく脆弱性の優先度を継承して、タスク優先度が設定されます。
タスク優先度の設定#
| No | 設定種類 | 設定場所 | 「タスク優先度変更元」の表示 | 必要な権限 | CSIRTプラン限定 |
|---|---|---|---|---|---|
| 1 | タスク詳細での個別手動設定 | タスク詳細 | 手動 | グループメンバ以上 | |
| 2 | SSVCトリアージ | オーガニゼーション設定 | SSVC | オーナ | ☑️ |
| 3 | 自動タスク優先度設定 | オーガニゼーション設定 | Task優先度ルールセット | オーナ | ☑️ |
| 4 | 脆弱性優先度からの継承 | 脆弱性詳細 | 脆弱性優先度 | なし |
タスク優先度の優先順位
「タスク優先度」の値は、上記のテーブルの順番で採用されます。 上位で設定した優先度は、下位の設定で上書きできません。
例えば、以下のような場合が該当します。
- 「SSVCトリアージ」で設定された優先度は、上位の「タスク詳細での個別手動設定」で変更できます。
- 「SSVCトリアージ」で設定された優先度は、下位の「Task優先度ルールセット」では上書きできません。
各タスク優先度設定の使い分け#
各タスク優先度設定の使い分け方をスタンダードプランと CSIRT プランの場合に分けて説明します。
スタンダードプランの場合#
スタンダードプランではタスク優先度を設定する手段が、
- 脆弱性優先度からの継承
- タスク詳細での個別手動設定
のみとなります。 脆弱性優先度からの継承は自動で行われるため、特定のタスクの優先度を個別に変更したい場合のみタスク詳細からの個別手動設定を利用することをお勧めします。
CSIRTプランの場合#
「自動タスク優先度設定」と「SSVC トリアージ」でオーガニゼーション全体のタスクに一定のルールで優先度を設定します。 そのうち個別に優先度を設定したいタスクがあればタスク詳細での個別手動設定をするといった運用をおすすめします。
自動タスク優先度設定と SSVC トリアージの使い分け
「自動タスク優先度設定」と「SSVC トリアージ」は以下のような使い分けができます。
SSVCトリアージ
- タスクの優先度をSSVC Priorityの値のみを条件として設定したい場合
- タスクの優先度を設定するとともに、タスクのステータスや対応期限も一緒に設定したい場合
自動タスク優先度設定
- タスクの優先度をSSVC Priorityの値の条件だけでなくCVSS Scoreなどの条件を加えて設定したい場合
- 設定できるのはタスク優先度のみなので、タスクのステータスや対応期限などは設定できません。
タスク優先度の脆弱性優先度からの継承について#
脆弱性優先度が変更された場合、その脆弱性に紐づくタスク優先度も変化します。 タスク優先度が変化するタイミングは、脆弱性優先度の変更方法により異なります。
| No | 脆弱性優先度設定種類 | タスク優先度への継承タイミング |
|---|---|---|
| 1 | スペシャル警戒タグ | 「スペシャル警戒タグ」設定変更時 |
| 2 | 脆弱性詳細での個別手動設定 | 次回スキャン時 |
| 3 | 自動脆弱性優先度設定 | 次回スキャン時 |