【セキュリティ入門】SSVCてなに？

SSVCてなに？

Stakeholder-Specific Vulnerability Categorizationの略称で脆弱性管理方法の1つです。
日本語にするとステークホルダーに特化した脆弱性の分類と訳することができます。
CVSSの代替手法として提案されました。

CVSSをひっくり返すとSSVCになります。

CVSSの課題

CVSSの課題についていくつかまとめました。

1. 意思決定に対するガイドラインがない
   • 脆弱性のスコアとしてLow~Criticalで算出されますが、スコアに対する優先度付けや対応は各自で行う必要があります
2. 自社の資産に応じた対応を適切に行えない
   • CVSSでCriticalと算出された脆弱性でも、環境によっては必ずしも当てはまるわけではありません

SSVCにおけるステークホルダー

SSVCではステークホルダーとしてデプロイヤー,サプライヤー,コーディネーターの3つに分類しています。
それぞれの役割で決定木があり、それを基に対応方針を算出します。

• デプロイヤー
  • パッチを適用する立場の人。脆弱性の対応を行う組織など
• サプライヤー
  • パッチを提供する立場の人。製品ベンダなど
• コーディネーター
  • 脆弱性情報を統制する組織。各組織のCSIRTなど

SSVCでの優先度

サプライヤーとデプロイヤーでは、最終的に下記の4カテゴリーに分類されます。

1. defer
   • 現在は対応の必要なし
2. scheduled
   • 定例のメンテナンス時に対応する
3. out-of-cycle
   • 通常よりも早く、緩和策や改善策を適用する
4. immediate
   • 即時に対応する

SSVCの分岐項目

デプロイヤーの決定木では下記4つを評価して算出します。

サプライヤー,コーディネーターではまた別の分岐項目があります。

1. Exploitation（脆弱性の悪用状況）

   1. None
      • 実際に悪用されている証拠がない、また攻撃検証コードが公開されていない
   2. PoC
      • 攻撃手法やコードが公開されている
   3. Active
      • 脆弱性を悪用した攻撃の発生が確認、報告されている

2. Exposure（システムの外部露出度）

   1. Small
      • ネットワークからのアクセスが制限されている
   2. Controlled
      • ネットワークからのアクセスが制限・緩和されている(Smallよりも制限が小さい)
   3. Open
      • インターネットからアクセス可能である

3. Utility（攻撃者にとっての有用性）

   1. Laborious
      • 自動化不可能で、得られるリソースも少ない
   2. Efficient
      • 自動化可能かつ得られるリソースが少ない、もしくは自動化不可能かつ得られるリソースが多い
   3. Super Effective
      • 自動化可能で、得られるリソースも多い

4. Human Impact（影響の大きさ）

   1. Low
   2. Medium
   3. High
   4. Very High

Human Impactの算出は複雑なので参考になる記事を載せます。

SSVCの優先度算出方法

下記図はPRIORITIZING VULNERABILITY RESPONSE: A STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION (VERSION 2.0)に記載されているデプロイヤーツリーです。(p35辺りに載ってます)

分岐項目を評価していき下記図から優先度を算出します。

SSVCの課題

下記サイトでは脆弱性の課題をいくつか挙げています。

1. 優先順位づけの負荷増加
2. 判断に必要な情報の増加

Exploitation項目ではKEVを確認する方法もありますが、PoCコードが公開されているか確認するには脆弱性に対してより調査が必要になります。
また、昨日公開されていない情報が今日公開される可能性もあるので日々調査が必要です。

その他の項目に関しても内部、外部情報ともに精査して決定木から優先度を算出するので、必然と判断材料や判断基準は増加します。

KEVについての記事も投稿したので併せてご覧ください。
KEVてなに？

参考サイト