SSVC方法論とは？ 脆弱性管理手法の新潮流をCISAが解説

CISAは脆弱性を評価して修復作業に優先順位を付ける脆弱性管理手法「SSVC方法論」を公開した。リソース不足で脆弱性対処に手が回らないユーザーは同方法論を参考に脆弱性を優先順位付けしてほしい。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2022年11月10日（現地時間）、脆弱（ぜいじゃく）性管理手法「SSVC方法論」（Stakeholder-Specific Vulnerability Categorization：利害関係者固有の脆弱性分類）に関するガイドラインを公開した。

　SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。

　近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。

CISAは「SSVC方法論」に関するガイドラインを公開した（出典：CISAのWebサイト）

SSVC方法論を解説　今すぐ対処すべき脆弱性を明らかに

　CISAは、SSVC方法論のガイドラインについて、「米国政府や民間政府が取り組むセキュリティ対策を一層強化するもので、脆弱性管理エコシステムを前進させるための重要なステップになる」と主張している。同方法論を理解して実装する上では、CISAのサイバーセキュリティを担当するエグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏が寄稿した以下の記事が参考になる、とCISAは紹介している。

• Transforming the Vulnerability Management Landscape | CISA

　上記の記事は「CISAが現在取り組む主要サービスを確実に利用すること」を促す内容になっており、これらを加味した上でさらにSSVC方法論の利用を推奨している。SSVC方法論については以下のページを確認してほしい。

STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION

　同方法論は以下の5つの値に基づいてアクションを決定する。

• 攻撃の具体的な状況
• 技術的な影響
• 自動化可能
• ミッションの普及率
• 公共への影響

　これらのデータに基づいて脆弱性を以下4つに評価する。

• 追跡（Track）：現時点では対処の必要なし。脆弱性をトラッキングし、新しい情報が入ったら再度評価する。標準的な更新スケジュールでアップデートすることを推奨
• 追跡*（Track*）：追跡（Track）よりは綿密なモニタリングが必要なケースがある。標準的な更新スケジュールでアップデートすることを推奨
• 注意（Attend）：担当者がモニタリングする必要がある。情報収集や内外へのアナウンスが必要なケースもある。標準的な更新スケジュールよりも早くアップデートすることを推奨
• 行動（Act）：上位役職がモニタリングする必要がある。情報収集や内外へのアナウンスが必要なケースがある。対応策を決定する会議を開き、合意した対応策を取ることになる。できるだけ早くアップデートをすることを推奨

　近年、「緊急」（Critical）や「重要」（Important/High）に位置付けられる脆弱性の報告が増加しており、組織は脆弱性への対処に手が回らない状況になっている。CISAが公開したガイドラインを活用することで、脆弱性対応をよりスピーディーかつ効果的に実行できる可能性がある。