現場運用者目線での使い方

ここでは、開発者や運用者の視点から、SSVCを利用した運用フローを説明していきます。

通知と確認フロー

1. 通知の受信

   Immediateに分類された脆弱性が検知されると、運用者はメール、Slack、Teamsなどで通知を受け取ります。

2. 画面での詳細確認

   通知のリンクをクリックすると、FutureVulsの画面に以下の情報が集約表示されます： - どのサーバで脆弱性が検知されたのか - 検知された脆弱性の詳細情報 - 該当するプログラムやライブラリ - 実行中のプロセスやポートのリスン状態

3. 判断理由の明示

   ページ下部に Immediate と判断された理由が表示され、判断根拠が明確にわかります。

SSVCと従来のCVSSの違い

従来のCVSSベースの運用では、「CVSSスコアが9だから緊急対応が必要」といった曖昧な指示が多く、「では8.9はどうなのか？」と混乱するケースもありました。

一方で、SSVCでは以下のような明確な判断できます：

• インターネット上で実際に悪用されている
• ネットワーク越しに乗っ取り可能なRCE脆弱性である
• インターネットに露出しているシステムで検知された
• ビジネスへの影響が大きいシステムである
• だからImmediateと判断された

脆弱性の詳細情報だけでなく、CERT系の注意喚起、Exploit情報、EPSSスコアも1画面で確認できます。

操作フロー

通知以外でも、画面上で未対応の Immediate タスクや重要な脆弱性を確認できます。

• 重要な未対応リスト

  Immediate や Out-of-Cycle と評価されたタスクは、「脆弱性タブ > 重要な未対応」に分類されます。 このリストを日々チェックすることで、高リスクの脆弱性に継続的に対応できます。

• EPSSを活用したリスク予測

  Scheduledに分類されたタスクでも、EPSSスコアが高い脆弱性をソートやフィルタで抽出可能です。 EPSS（Exploit Prediction Scoring System）は「今後30日以内に攻撃に利用される可能性」を示す指標で、これを活用することで、潜在的な脅威に先手を打つ対応が可能です。