SSVC方法論とは? 脆弱性管理手法の新潮流をCISAが解説
CISAは脆弱性を評価して修復作業に優先順位を付ける脆弱性管理手法「SSVC方法論」を公開した。リソース不足で脆弱性対処に手が回らないユーザーは同方法論を参考に脆弱性を優先順位付けしてほしい。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年11月10日(現地時間)、脆弱(ぜいじゃく)性管理手法「SSVC方法論」(Stakeholder-Specific Vulnerability Categorization:利害関係者固有の脆弱性分類)に関するガイドラインを公開した。
SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。
近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。
SSVC方法論を解説 今すぐ対処すべき脆弱性を明らかに
CISAは、SSVC方法論のガイドラインについて、「米国政府や民間政府が取り組むセキュリティ対策を一層強化するもので、脆弱性管理エコシステムを前進させるための重要なステップになる」と主張している。同方法論を理解して実装する上では、CISAのサイバーセキュリティを担当するエグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏が寄稿した以下の記事が参考になる、とCISAは紹介している。
上記の記事は「CISAが現在取り組む主要サービスを確実に利用すること」を促す内容になっており、これらを加味した上でさらにSSVC方法論の利用を推奨している。SSVC方法論については以下のページを確認してほしい。
STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION
同方法論は以下の5つの値に基づいてアクションを決定する。
- 攻撃の具体的な状況
- 技術的な影響
- 自動化可能
- ミッションの普及率
- 公共への影響
これらのデータに基づいて脆弱性を以下4つに評価する。
- 追跡(Track):現時点では対処の必要なし。脆弱性をトラッキングし、新しい情報が入ったら再度評価する。標準的な更新スケジュールでアップデートすることを推奨
- 追跡*(Track*):追跡(Track)よりは綿密なモニタリングが必要なケースがある。標準的な更新スケジュールでアップデートすることを推奨
- 注意(Attend):担当者がモニタリングする必要がある。情報収集や内外へのアナウンスが必要なケースもある。標準的な更新スケジュールよりも早くアップデートすることを推奨
- 行動(Act):上位役職がモニタリングする必要がある。情報収集や内外へのアナウンスが必要なケースがある。対応策を決定する会議を開き、合意した対応策を取ることになる。できるだけ早くアップデートをすることを推奨
近年、「緊急」(Critical)や「重要」(Important/High)に位置付けられる脆弱性の報告が増加しており、組織は脆弱性への対処に手が回らない状況になっている。CISAが公開したガイドラインを活用することで、脆弱性対応をよりスピーディーかつ効果的に実行できる可能性がある。
関連記事
- “脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 - Microsoftが11月の累積更新プログラムを配信 悪用確認済みの脆弱性に対処
Microsoftは2022年11月の累積更新プログラムを配信した。今回のアップデートで修正対象となった脆弱性の中には既に悪用されているものも含まれており、直ちにアップデートを適用することが求められる。 - Samsungデバイスのユーザーは要確認を 「既知の悪用された脆弱性カタログ」に7件が追加
既知の悪用された脆弱性カタログに7件の脆弱性が追加された。脆弱性が含まれる製品の中にはSamsungのモバイルデバイスなどもある。詳細を確認の上、迅速に対応してほしい。 - 大阪急性期・総合医療センターへのランサムウェア攻撃、給食委託事業者通じて侵入か
大阪急性期・総合医療センターが会見を開き、ランサムウェア攻撃による電子カルテシステムの障害について続報を発表した。同会見でランサムウェアの侵入経路と病院基幹システムの復旧めどが明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.