CSIRT・管理者目線での使い方

ここでは、組織全体で脆弱性管理をする CSIRT（Computer Security Incident Response Team）の視点から、SSVCを利用した運用フローを説明していきます。

CSIRTでの運用手順

1. 全社的なリスク確認

   CSIRT担当者は、全社横断で Immediate や Out-of-Cycle と判断された脆弱性を確認します。例えば、放置状態のタスクや対応期限切れのタスクをフィルタして、担当者に対応を促します。

2. タスクの分類と自動設定

   FutureVulsでは、SSVCに基づき以下の項目を自動設定できます： - ステータス（例：未対応） - 優先度（例：ImmediateはHigh） - 対応期限

3. 効率的なグループ管理

多数のシステムが存在する場合、FutureVulsのグループセット機能を利用し、すべてのシステムを「allグループセット」にまとめることで、全社の脆弱性を1画面で一括管理できます。

具体的な操作例

• 新規に検知された脆弱性の確認

  「allグループセット > 脆弱性」の「初回検知日時列」を使用して、新規検知されたImmediate脆弱性を抽出できます。

  

• 状況が変化した脆弱性の確認

  「SSVC最新更新日時列」を使用して、状況が変化してImmediateとなった脆弱性を確認可能です。

• トピック機能の活用

  トピック機能を使えば、脆弱性ごとにコメントを登録し、メール通知を送信可能です。これにより、CSIRTは注意喚起を簡単に行えます。

  

タスク管理と催促

• 未対応タスクのフィルタリング

  「未対応のまま期限が超過したタスク」や「対応予定日が未設定のタスク」をフィルタして抽出可能です。

  

• 一括通知

  複数のタスクを選択し、一括で担当者に通知できます。

  

CSIRT運用効率の向上

従来、CSIRTではリアルなリスクに基づいたトリアージが難しく、リソースやコストの面で課題がありました。 FutureVulsのSSVC機能を活用することで、こうした課題を解決し、脆弱性管理業務を大幅に効率化できます。

EPSSとの組み合わせでSSVCを補完

EPSS（Exploit Prediction Scoring System） は、「今後30日以内に脆弱性が悪用される可能性」を数値化する仕組みです。FutureVulsは EPSS データを取り込み、SSVCと組み合わせることで以下のような活用が可能です：

1. Immediateのさらなる優先順位付け Immediateに分類された脆弱性の中でも、EPSS スコアが高いものを優先的に対応します。
2. SSVCの判断を補完
   • ScheduledやDeferに分類されたタスクの中で、EPSS スコアが高いものを対応対象とする。

FutureVuls の EPSS 機能についてさらに詳しく知りたい方は、以下の記事をご覧ください。

• リリースノート > EPSS を FutureVuls 上で参照できるように
• FutureVulsブログ > EPSS入門：脆弱性管理を変革する新指標の理解と活用方法