CISAは脆弱性を評価して修復作業に優先順位を付ける脆弱性管理手法「SSVC方法論」を公開した。リソース不足で脆弱性対処に手が回らないユーザーは同方法論を参考に脆弱性を優先順位付けしてほしい。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年11月10日(現地時間)、脆弱(ぜいじゃく)性管理手法「SSVC方法論」(Stakeholder-Specific Vulnerability Categorization:利害関係者固有の脆弱性分類)に関するガイドラインを公開した。
SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。
近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。
CISAは、SSVC方法論のガイドラインについて、「米国政府や民間政府が取り組むセキュリティ対策を一層強化するもので、脆弱性管理エコシステムを前進させるための重要なステップになる」と主張している。同方法論を理解して実装する上では、CISAのサイバーセキュリティを担当するエグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏が寄稿した以下の記事が参考になる、とCISAは紹介している。
上記の記事は「CISAが現在取り組む主要サービスを確実に利用すること」を促す内容になっており、これらを加味した上でさらにSSVC方法論の利用を推奨している。SSVC方法論については以下のページを確認してほしい。
STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION
同方法論は以下の5つの値に基づいてアクションを決定する。
これらのデータに基づいて脆弱性を以下4つに評価する。
近年、「緊急」(Critical)や「重要」(Important/High)に位置付けられる脆弱性の報告が増加しており、組織は脆弱性への対処に手が回らない状況になっている。CISAが公開したガイドラインを活用することで、脆弱性対応をよりスピーディーかつ効果的に実行できる可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.