SSVC(Stakeholder-Specific Vulnerability Categorization)とは、脆弱性の対応優先度を決定するためのフレームワークです。これは、異なるステークホルダー(利害関係者)の視点から脆弱性の重要度を評価し、適切な対応を導くための手法です。
従来の評価指標であるCVSSでは、脆弱性の度合いを数値で表示し、数値に基づいて4段階のレベルに分類することができましたが、脆弱性に対する対応方針は各組織ごとに検討・決定する必要がありました。
一方で、SSVCでは、環境特性を踏まえた判断プロセスを提供し、それを基に脆弱性の対応方針を決定することができます。また、脆弱性の影響をより具体的に評価することで、組織のリスク管理に役立てることを目的としています。
SSVCは、主要な3つのステークホルダーに応じた決定木が用意されます。まず、脆弱性の対応する優先度を4段階で分け、さらに4種の分岐項目を用いることで決定木が構成されます。
表1:ステークホルダーの説明
|
ステークホルダー |
説明 |
|
デプロイヤー |
パッチを適用する組織。脆弱性の対応を行う組織が該当する。 |
|
サプライヤー |
パッチを提供する組織。製品ベンダなどが該当する。 |
|
コーディネーター |
脆弱性情報を統制する組織。各組織のCSIRTが該当する。 |
表2:SSVCの優先度
|
優先度 |
説明 |
|
Defer |
現時点では対応しません。 |
|
Scheduled |
定期的なメンテナンス内で対応します。 |
|
Out-of-cycle |
緩和策または修正策を適用するために通常より迅速に対応します。 |
|
Immediate |
利用可能なすべてのリソースを活用し、可能な限り迅速に修正策を適用します。 必要であれば、通常業務の一時停止を行います。 |
表3:SSVCの分岐項目
|
分岐項目 |
説明 |
|
Exploitation |
攻撃実績があるかどうか、PoCが公開されているかどうかを調査し、判断します。 |
|
Exposure |
脆弱性を持つ製品がインターネットからアクセスできるかどうかを判断します。 |
|
Utility |
攻撃の自動化が可能か、また、攻撃することの有用性を判断します。 有用性とは、攻撃が成立した場合に制御を得られるリソースを指し、例えば、1人のアカウント奪取のみであれば有用性が小さく、データベースシステムのオペレーションアカウントであれば有用性が大きいと判断します。 |
|
Well-being and Mission Impact |
影響の大きさを判断します。 |
また、SSVCは脆弱性に優先度を付ける意思決定を支援するものであり、対応に関する最終的な判断は現場が行うことになります。正確な判断を迅速に行うためには、事前に各システムの状況を整理・把握し、SSVCの構成管理を適切に行うことが重要です。
