SSVC DeepDive

Transcript

1. Copyright © 2024 by Future Corporation 
 - 1 -

   
 vuls.biz


2. Copyright © 2024 by Future Corporation 
 - 2 -

   
 vuls.biz
 自己紹介
 神戸康多（かんべこうた） 
 フューチャー株式会社
 OSS脆弱性スキャナ「Vuls」作者
 脆弱性管理クラウド「FutureVuls」の運営
 
 
 実績
 ▪ Vuls普及のために３０回以上登壇
 ▪ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演
 ▪ 情報処理学会ソフトウェアジャパン2020 アワード
 ▪ Google OSS Peer Bonus Winners of 2022


3. Copyright © 2024 by Future Corporation 
 - 3 -

   
 vuls.biz
 Xでのジョーシスな誰かのつぶやき（抜粋） 
 
 セキュリティ脆弱性に対するサイバー犯罪については、もう 心情的に白旗を上げてしまってます。
 技術的には対策が打てたとしても、 運用が追いつかない…
 
 一部上場企業グループの情報システム部とかになると、大きなシステムが数十以上、サーバー(VM)も数百以上、基 幹ネットワーク機器も3桁以上、余裕であるわけですよ。 
 
 そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくる わけですよ。 金曜日の夕方にそんな情報が展開されても「は？」なんですよ。 緊急でパッチ当てろとか言われても無理なんです よ。土日だってシステム動いてるから 気軽に止められないんですよ。
 
 そもそも、どの機器が対象かを洗い出すのに骨が折れるし 、サービス停止や再起動が必要なのかどうか分からん のですよパッチのせいでシステムが動かなくなる なんてことも余裕であるんですよ。なので、どこまでテストやる？と か悩ましいんですよ
 
 金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。 そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさ。そうではない頻度で重大なセキュリティ脆弱性 のアナウンスされるんすよ。
 


4. Copyright © 2024 by Future Corporation 
 - 4 -

   
 vuls.biz
 Xでのジョーシスな誰かのつぶやき（抜粋） 
 一方で、経営者レベルから見ると、セキュリティ脆弱性対策を頑張ったところで、会社の売り上げが増えるわけじゃ ないので、マジでお荷物なコストでしかないのよ。せっかくITにお金使うなら攻めのITに投資したくて、セキュリティ対策 は本当に後ろ向きなコストでしかない。 
 
 緩いセキュリティ運用をしていても、とりあえず普通にシステムが動いていれば、直近で困るわけではないからね。 耐震 性に問題がある建物でも、現時点で崩落してるわけじゃなければ大丈夫。普通に住める。大きな地震さえ来なけれ ば。
 
 ほんと、日本全国の情シスはKAD◦KAWAの件を見ていてヒヤヒヤだと思うね。 
 「うちはちゃんとやってるから大丈夫」って自信を持ってる人なんて一人も居ないと思う。みんな水際で塹壕戦を戦って いる。明日は我が身。


5. Copyright © 2024 by Future Corporation 
 - 5 -

   
 vuls.biz
 Xでのジョーシスな誰かのつぶやき（抜粋） 
 
 セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 
 技術的には対策が打てたとしても、運用が追いつかない… 
 
 一部上場企業グループの情報システム部とかになると、大きなシステムが数十以上、サーバー(VM)も数百以上、基 幹ネットワーク機器も3桁以上、余裕であるわけですよ。 
 
 そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくるわけですよ。金曜 日の夕方にそんな情報が展開されても「は？」なんですよ。緊急でパッチ当てろとか言われても無理なんですよ。土日 だってシステム動いてるから気軽に止められないんですよ。 
 
 そもそも、どの機器が対象かを洗い出すのに骨が折れるし、サービス停止や再起動が必要なのかどうか分からんの ですよパッチのせいでシステムが動かなくなるなんてことも余裕であるんですよ。なので、どこまでテストやる？とか悩 ましいんですよ
 
 金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。 そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさ。そういうレベルではない頻度で、Micorosoftがカ ジュアル重大なセキュリティ脆弱性のアナウンスしてくるんよ。 
 
 管理する資産が多すぎる 
 「緊急」「重大」という脆弱性が多すぎる 
 影響調査・対応が大変すぎる。気軽にパッチ当てられない 
 本当に「緊急・重大」なのかのリスク判断が難しすぎる 


6. Copyright © 2024 by Future Corporation 
 - 6 -

   
 vuls.biz
 Xでのジョーシスな誰かのつぶやき（抜粋） 
 一方で、経営者レベルから見ると、セキュリティ脆弱性対策を頑張ったところで、会社の売り上げが増えるわけじゃない ので、マジでお荷物なコストでしかないのよ。せっかくITにお金使うなら攻めのITに投資したくて、セキュリティ対策は本 当に後ろ向きなコストでしかない。 
 
 緩いセキュリティ運用をしていても、とりあえず普通にシステムが動いていれば、直近で困るわけではないからね。耐震 性に問題がある建物でも、現時点で崩落してるわけじゃなければ大丈夫。普通に住める。大きな地震さえ来なければ。 
 
 ほんと、日本全国の情シスはKADOKAWAの件を見ていてヒヤヒヤだと思うね。 
 「うちはちゃんとやってるから大丈夫」って自信を持ってる人なんて一人も居ないと思う。みんな水際で塹壕戦を戦って いる。明日は我が身。
 経営のセキュリティ投資への理解がなさすぎる 
 明日は我が身と自覚しているが諦めている・ギリギリで戦っている 
 本日は、現実的に脆弱性管理をまわす方法についてお話します 


7. Copyright © 2024 by Future Corporation 
 - 7 -

   
 vuls.biz
 公開される脆弱性は年々増加 
 2024年は年間4万件を超えそうな勢い（前年比 +40%up） 


8. Copyright © 2024 by Future Corporation 
 - 8 -

   
 vuls.biz
 攻撃経路と組織の対応力 
 攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用である。 
 米国の平均的な組織は脆弱性の 10%しかパッチを当てられない。
 出所：Mandiant M-Trends 2023 By The Numbers Infographic 
 
 <攻撃者が最初に使用する攻撃経路> 
 <月ごとのOpen/Closeできた脆弱性数の分布（100組織を調査）> 
 出所：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice 
 すべての脆弱性数に対応できた場合 
 (Open=Close)
 実 際 に対 応 できた脆 弱 性 数 


9. Copyright © 2024 by Future Corporation 
 - 9 -

   
 vuls.biz
 脆弱性管理のプロセス 
 脆弱性管理の「情報収集」と「影響調査」は「Vuls」等のツールにより自動化された。検知後の「判断」の リスク評価と優先順位付けによる、対応可能な数までの絞り込みが課題。 
 • 年間2万件以上のCVEが新規公開 
 • NVDやJVN、SNSを定期的にウォッチ 
 • 深刻な脆弱性は全社メールで周知 
 
 情報収集
 • 資産と構成要素の把握
 • 脆弱性情報と比較し影響調査 
 影響調査
 • テストしパッチ適用などで対応 
 • 対応状況を管理
 対応
 ツール
 で自動化
 　対応の優先順位付けは難易度が高く人的工数がかかる 課題
 • 対応優先度を判断
 判断
 判断
 対応
 進化


10. Copyright © 2024 by Future Corporation 
 - 10 -

    
 vuls.biz
 CVSSスコアとは 
 CVSS基本値は脆弱性の深刻度を「0-10」で計算した値である。 
 Log4Shell(CVE-2021-44228)のスコアは最大の「10」


11. Copyright © 2024 by Future Corporation 
 - 11 -

    
 vuls.biz
 CVSSスコアでの絞り込みについて 
 スコアの半数が「HIGH」。詳細情報でフィルタしても対応可能な数まで絞り込めない。 
 <CVSSスコアごとの件数> 
 ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計
 半分以上がHIGH 半分以上が重要度「 HIGH」 　詳細情報でさらにフィルタしても限界がある 課 題
 課 題
 約1.4万件 ネットワークから権限なしで攻撃可能でフィルタ

12. Copyright © 2024 by Future Corporation 
 - 12 -

    
 vuls.biz
 CVSSスコアと武器化の関係 
 スコアが低いものにも攻撃コードがあり安全とは言えない。 
 出所: The Risk Remediation Taxonomy and Decision Tree are part of a conference presentation by Yahoo Chris Madden: https://www.bsidesdub.ie/ May 27 2023. 


13. Copyright © 2024 by Future Corporation 
 - 13 -

    
 vuls.biz
 実際に攻撃に使われる脆弱性とは 
 実際に攻撃に使われている脆弱性は 2-4%未満程度でありリスクが高い。最優先に対応する必要がある。 
 CVSSスコアでは攻撃に使われる脆弱性を予測したり判断はできない。 
 2.24%　約4,615件 
 ＜攻撃に利用される脆弱性＞ 
 ではリスクが高いをどうやって判断する？ 出所: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape 
 課 題
 公開されている CVE の総数のうち 
 4% 未満しか悪用されていません。 
 ＜BOD 22-01: 既知の脆弱性の重大なリスクの軽減＞ 


14. Copyright © 2024 by Future Corporation 
 - 14 -

    
 vuls.biz
 リスクを考慮した脆弱性管理とは 
 リスクの3要素は「脆弱性」「脅威」「影響」である。重大な脆弱性、かつ実際に悪用されている、かつビ ジネスに影響の大きいものから優先的に対応していくのが理想。 
 影響
 脅威
 脆弱性


15. Copyright © 2024 by Future Corporation 
 - 15 -

    
 vuls.biz
 SSVC - Stakeholder-Specific Vulnerability Categorization 
 SSVCとは『リスク = 脆弱性 x 脅威 x 影響』 に相当する情報を元に決定木を用いて脆弱性の対応優 先度を４段階に決定できるフレームワークである。 
 SSVC Stakeholder-Specific Vulnerability Categorization 
 
 背景
 ✔カーネギーメロン大学が提案 
 ✔CISAがトリアージ手法として推奨 
 
 概要
 ✔リスクベースで「脆弱性優先判断」す るためのフレームワーク 
 ✔用途毎の決定木が用意されている 
 - CERT向け「coordinator tree」 
 - 運用者向け「deployer tree」 
 - PSIRT向け「supplier tree」 
 - デモ
 ＜Depoyerツリー（運用者向け）＞ 
 Depoyerツリー（運用者向け） 


16. Copyright © 2024 by Future Corporation 
 - 16 -

    
 vuls.biz
 SSVCの各DecisionPointの説明 
 SSVCの各DecisionPointはリスクの3要素をカバーしており、リスクを総合的に判断可能。 
 Decision Point 
 リスク要素 
 値
 判断基準・情報ソース 
 Exploitation
 脅威
 no
 poc
 active
 pocやexploitが公開されていない 
 Exploiit-DBやMetasploit等にpocが公開されている 
 KEVcatalog, Vulnrichment, EPSS, ベンダ情報
 Exposure
 - 
 small
 controlled
 open
 インターネットから隔離された環境 
 インターネットに非公開の社内システム 
 インターネットに公開されている 
 Automatable
 脆弱性
 no
 yes
 キルチェーンの1-4が自動化可能かどうか（RCEは yes)。Vulnrichmentにも情報あり。
 Impact
 影響
 low
 medium
 high
 very high
 ビジネス活動に特に影響低 
 影響は限定的な場合 
 ある一つ・少数の基幹システムに影響あり 
 会社全体のビジネス活動に影響あり 


17. Copyright © 2024 by Future Corporation 
 - 17 -

    
 vuls.biz
 デモ
 SSVCの決定木のデモサイト上で人気の脆弱性の優先順位付けを試してみましょう。 
 https://certcc.github.io/SSVC/ssvc-calc/ 
 CVE
 資産
 製品
 EPSS(%) 
 判断基準・情報ソース 
 CVE-2024-6387
 (regreSSHion)
 サーバ
 OpenSSH
 4.5
 Vulnrichment: Exploitation: Active, Automatable: no
 
 CVE-2023-27997
 NW機器
 Fortigate
 13.47
 CISA-KEV: 掲載されているのでExploitationはActive
 Automatable: 
 - yesだろう（AV:N, AC:L, PR:N)
 - IP, Portでチェックできるtool
 CVE-2021-44228
 (Log4Shell)
 ライブラリ
 Log4j
 97.56
 CISA-KEV: 掲載されているのでExploitationはActive
 Automatable: yes


18. Copyright © 2024 by Future Corporation 
 - 18 -

    
 vuls.biz
 脅威レベルに応じた優先度判断 
 どんなに重大な脆弱性でも攻撃の事例がない場合は対応優先度は下がる。 
 PoCが無い場合は基本「次回の定期メ ンテナンス時」でOK
 PoCが公開されているが攻撃の事例な しの場合は、一部重要システムのみ「な る早対応」
 攻撃がActiveな場合は 
 「即時対応」「なる早対応」 


19. Copyright © 2024 by Future Corporation 
 - 19 -

    
 vuls.biz
 インターネット露出度、ビジネス影響を考慮した優先度判断 
 攻撃がActiveな場合はでも、「インターネット露出度」「対象システムのビジネスへの影響度」などを考 慮し「即時対応」「なる早対応」を判断できる。 
 
 攻撃がActive 
 なる早対応でOK 
 攻撃がActive 
 社内システムの場合の決定木 
 インターネットサービスの場合の決定木 
 インターネットに 公開
 社内システム 
 即時対応が必要 


20. Copyright © 2024 by Future Corporation 
 - 20 -

    
 vuls.biz
 SSVCの人手での対応判断の課題 
 検知した脆弱性に対してSSVCの項目を判断するにはセキュリティ担当と運用者の両方の知識と情報 が必要である。SSVCの判断を人手でやると人的コストがかかるので自動化が理想。 
 SSVC 
 セキュリティ担当 
 運用者
 攻撃コードの悪用レベル 
 　　　わかる
 　　　判断しにくい
 システム露出レベル 
 　　　判断しにくい
 　　　わかる
 攻撃者にとっての有用性 
 　　　わかる
 　　　判断しにくい
 業務影響
 　　　判断しにくい
 　　　わかる
 SSVCを使っても人手で判断すると人的コストがかかるので自動化したい 課題


21. Copyright © 2024 by Future Corporation 
 - 21 -

    
 vuls.biz
 FutureVulsの紹介 - 国産の脆弱性管理SaaS 
 日々の継続的な脆弱性管理を効率化。専門家でなくてもリスク判断可能。 
 新規に公開された脆弱性にすぐに気づけるので、 高リスクな脆弱性に先手を打って対応 可能
 Cisco, Fortinet等のNW機器 Linux, Windows, Mac, コンテナ Java等のOSSライブラリ クラウド / オンプレ / 閉域環境 商用ソフトウェア 管理対象 資産管理 ライセンス管理 脆弱性管理（チケット管理） SBOM入出力 自動トリアージ 基本機能

22. Copyright © 2024 by Future Corporation 
 - 22 -

    
 vuls.biz
 FutureVulsのSSVC機能はトリアージとその後の追跡まで自動化 
 検知した脆弱性を４つの優先度に振り分け、タスク対応期限等の指示まで自動化。 
 後日Exploitが公開されて「脅威」が変化した時点で自動再評価してくれるので追跡可能。 
 immediate 
 構成情報
 脆弱性
 検知処理
 タスク
 - ステータス 
 - 対応期限 
 - 優先度
 - 担当者
 - コメント
 defer 
 脆弱性情報
 SSVC決定木
 脅威の変化で再判断 
 SSVC結果が変更されたらタスクを自動で再設定 
 対応期限などを自動設定して対応指示 


23. Copyright © 2024 by Future Corporation 
 - 23 -

    
 vuls.biz
 FutureVulsのSSVC機能の初期設定は２ステップで簡単 
 システム単位で「インターネット露出度」と「資産重要性」を設定する。次に、SSVCの結果ごとに、タスク 優先度や期限等を自動設定するルールを定義すれば設定は完了。 
 immediate に分類されたタスクの 
 - ステータス：未対応
 - 優先度を　：High
 - 対応期限　：７日後
 に自動設定して自動で対応を指示 
 そのシステムの
 - インターネット露出度 
 - 資産重要性
 といった環境情報を設定 
 <環境情報の設定画面> 
 <タスク自動設定のルールを設定する画面> 


24. Copyright © 2024 by Future Corporation 
 - 24 -

    
 vuls.biz
 FutureVulsのSSVC機能を用いたDev/Ops目線の運用 
 運用者は immediate 検知の通知受けてログイン。決定木、プロセスやPort開放状態、
 IPSルール有無、脆弱性情報、CERT注意喚起、Exploit情報等を画面から確認して対応する。 
 Login
 決定木の判断理由
 
 攻撃がアクティブかつ、
 インターネット公開システム か つ、RCEかつ、重要システムな のでimmediate と判断された
 「ソフトウェア名」
 「プロセス有無」
 「Port開放状況」
 対象機器や対応期限等 
 「脆弱性情報」
 「CERT注意喚起」
 「Exploit情報」


25. Copyright © 2024 by Future Corporation 
 - 25 -

    
 vuls.biz
 FutureVulsのSSVC機能を用いたCSIRT目線の管理 
 CSIRTは全社横断で immediate と out-of-cycle の対応状況を確認し、対応期限が超過したタスク には一括で対応を催促する。脆弱性管理の工数を削減可能。 
 immediate に分類されたタスクのうち 
 「未対応」かつ「対応期限が超過している」 
 などでフィルタ
 タスクの担当者に対応を催促。 
 一つの操作で全社の担当者に指示 
 一 括 選 択 


26. Copyright © 2024 by Future Corporation 
 - 26 -

    
 vuls.biz
 SSVCの効果 
 ５つの環境を想定して、「4,716件」の脆弱性をSSVCで分類した。 
 immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている 。
 immediate out-of-cycle immediate/out-of -cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム (勤怠管理など ) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0

27. Copyright © 2024 by Future Corporation 
 - 27 -

    
 vuls.biz
 まとめ
 リスクを反映したスコアではありません。高リスクな脆弱性の絞り込みは困難です 
 SSVCでリスクベースの判断をしましょう 
 CVSSスコアベースだと運用回りません 
 SSVCを使えば、「脆弱性」「脅威」「影響」と「環境」をもとに優先順位付け出来ます FutureVulsのSSVC機能はトリアージから対応指示まで徹底的に 自動化。運用がまわります
 脆弱性管理を自動化しましょう 


28. Copyright © 2024 by Future Corporation 
 - 28 -

    
 vuls.biz
 まとめ
 無償PoC、詳細なデモ、脆弱性管理のお悩み相談など、お気軽にお問い合わせください。 
 
 https://vuls.biz 
 Vuls