EN

セキュリティ用語解説

SSVC(Stakeholder-Specific Vulnerability Categorization)

SSVC(Stakeholder-Specific Vulnerability Categorization)とは、脆弱性の対応優先度を決定するためのフレームワークです。これは、異なるステークホルダー(利害関係者)の視点から脆弱性の重要度を評価し、適切な対応を導くための手法です。

 

従来の評価指標であるCVSSでは、脆弱性の度合いを数値で表示し、数値に基づいて4段階のレベルに分類することができましたが、脆弱性に対する対応方針は各組織ごとに検討・決定する必要がありました。

一方で、SSVCでは、環境特性を踏まえた判断プロセスを提供し、それを基に脆弱性の対応方針を決定することができます。また、脆弱性の影響をより具体的に評価することで、組織のリスク管理に役立てることを目的としています。

 

SSVCは、主要な3つのステークホルダーに応じた決定木が用意されます。まず、脆弱性の対応する優先度を4段階で分け、さらに4種の分岐項目を用いることで決定木が構成されます。

 

表1:ステークホルダーの説明

ステークホルダー

説明

デプロイヤー

パッチを適用する組織。脆弱性の対応を行う組織が該当する。

サプライヤー

パッチを提供する組織。製品ベンダなどが該当する。

コーディネーター

脆弱性情報を統制する組織。各組織のCSIRTが該当する。


表2:SSVCの優先度

優先度

説明

Defer

現時点では対応しません。

Scheduled

定期的なメンテナンス内で対応します。

Out-of-cycle

緩和策または修正策を適用するために通常より迅速に対応します。

Immediate

利用可能なすべてのリソースを活用し、可能な限り迅速に修正策を適用します。

必要であれば、通常業務の一時停止を行います。


表3:SSVCの分岐項目

分岐項目

説明

Exploitation

攻撃実績があるかどうか、PoCが公開されているかどうかを調査し、判断します。

Exposure

脆弱性を持つ製品がインターネットからアクセスできるかどうかを判断します。

Utility

攻撃の自動化が可能か、また、攻撃することの有用性を判断します。

有用性とは、攻撃が成立した場合に制御を得られるリソースを指し、例えば、1人のアカウント奪取のみであれば有用性が小さく、データベースシステムのオペレーションアカウントであれば有用性が大きいと判断します。

Well-being and Mission Impact

影響の大きさを判断します。

 

また、SSVCは脆弱性に優先度を付ける意思決定を支援するものであり、対応に関する最終的な判断は現場が行うことになります。正確な判断を迅速に行うためには、事前に各システムの状況を整理・把握し、SSVCの構成管理を適切に行うことが重要です。

 

アルファベット順で探す