vuls祭り6: 脆弱性対応指標としてのSSVC

Transcript

1. Confidential Copyright © 2022 by Future Corporation 脆弱性対応指標としてのSSVC Vuls祭り#6 2022年08月26日

   フューチャー株式会社

2. Copyright © 2022 by Future Corporation Confidential - 2 -

   サマリ 脆弱性対応の判断に使えそうな ”SSVC: Stakeholder-Specific Vulnerability Categorization” についてお話しします。 ◼ 脆弱性対応の現状と問題点 ◼ それを解決できそうな SSVC とは ◼ まとめ ※とても10分で話せる内容ではないので、今回は意義や概要をお話しします。 ※ご興味がある方は、別途ご連絡ください（FutureVulsの問合せ or 私個人宛）

3. Copyright © 2022 by Future Corporation Confidential - 3 -

   who am i 所属 ◼ Future株式会社 CyberSecurity Innovation Group シニアコンサルタント 業務内容 ◼ セキュリティコンサルティング ➢ セキュリティアセスメント、脆弱性対応、インシデント対応、トレーニング、etc ◼ FutureVuls ➢ 営業/サポート/トレーニング ➢ 講演（サイバーコロッセオ等） ◼ 水風呂の伝道師 ➢ 156cmの水風呂、凍った皮を割って入る水風呂、水風呂での心身鍛錬（水風呂道） 当日投影

4. Confidential Copyright © 2022 by Future Corporation 1. 現状の脆弱性対応と問題点

5. Copyright © 2022 by Future Corporation Confidential - 5 -

   現在行われている脆弱性の判断は、以下の様なものが多い ◼ CVSS Base Scoreが8.0以上のものはすべて対応 ➢ HIGH, CRITICALで対応、も同様 ◼ ニュースなどで話題になったものは対応する これらは以下の問題を含みます ◼ システム自体への影響度は示していない ➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない ◼ 実際のリスクを反映していない ➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している ✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない ◼ 対応のガイドを示さない ➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある

6. Confidential Copyright © 2022 by Future Corporation 2. それを解決できそうなSSVCとは

7. Copyright © 2022 by Future Corporation Confidential - 7 -

   SSVCとは Stakeholder-Specific Vulnerability Categorization ->利害関係者固有の脆弱性の分類（by google translate） 原文の序章で目的が掛かれている ◼ 脆弱性管理においては利害関係者が多数いるため、主要機能で複数の利害関係者に 対応しておく必要がある。 ◼ 実用的な範囲で万能な解決策を回避することを目指す ◼ 意思決定をフレームワーク化することにより、脆弱性管理を改善する ◼ どのような形式の入出力があるかを決定し、範囲内の脆弱性管理の側面を決定し、時間 経過とともに変更を処理する方法を識別、等をする SSVCでは複数の利害関係者に対応できるように設計されているが、脆弱性管理の運用とい う側面では「Deployer」と呼ばれるグループを利用する。

8. Copyright © 2022 by Future Corporation Confidential - 8 -

   以下の入力を行うことで、意思決定としての出力を行う ◼ 入力 ➢ Exploitation（攻撃コードの公開有無や、悪用レベル） ✓ : none/poc/active ➢ Exposure（脆弱なコンポーネントの露出レベル） ✓ : small/controlled/open ➢ Utility（対象システムの価値密度） ✓ Automatable（攻撃の自動化） ◆ : yes/no ✓ Value Density（対象システムの価値密度） ◆ : diffuse/concentrated ➢ Human Impact（=攻撃された際の業務影響） ✓ Situated Safety Impact（業務での被害の大きさ） ◆ : none/minor/major/hazardous/catastrophic ✓ Mission Impact（業務必須機能への影響） ◆ : none/degraded/crippled/mef failure/mission failure ◼ 出力 ➢ defer : 保留（許容） ➢ scheduled : 定期メンテナンスで対応 ➢ out-of-cycle : 定期メンテナンス外で対応 ➢ immediate : 即座に緊急な対応が必要 ツリーとして表現できる =決定木 - Decision Tree 各決定点 - DecisonPoint 出力 outcomes

9. Copyright © 2022 by Future Corporation Confidential - 9 -

   今までと何が違うのか ◼ 具体的な意思決定を導ける ➢ 脆弱性それ自体の危険度ではなく、どのような行動をとるべきかが示される ➢ どうあるべきか、というガイドとして利用できる ◼ 透明かつ説明可能なアプローチ ➢ どのよう判断で意思決定がされたかが、明確になる ◼ 実際のリスクを基に判断ができる ➢ 対象のシステムの特性を考慮した判断ができる

10. Confidential Copyright © 2022 by Future Corporation 3. まとめ

11. Copyright © 2022 by Future Corporation Confidential - 11 -

    まとめ SSVCを使うことで、以下の利点があると考えられる ◼ 脆弱性の危険度、ではなく、どうするか（Outcomes）が提示される ◼ どうするか（Outcomes）という、標準的な対応が示される ◼ 保護対象のシステム要求度により、どうするか（Outcomes）が自動で選択できる しかしながら、SSVCを使うには以下の点に注意が必要 a. そもそも、自システムの環境を理解しないといけない ➢ Value Density, Safety Impactの決定に必要 ➢ 但し、SSVCに限った話ではない b. おそらくは自動化が必須 ➢ PoCやExploitの有無、自動化可能性など、時間とともに変わる情報が必要となる ➢ 人力で対応するのは難しい為、何らかの方法で自動的に脆弱性の状況を定義/取得できる必要がある c. SSVCで導出される指標に従うことができるか ➢ SSVCのOutcomesで示されたものに従う、という事ができるかどうか ➢ Outcomesを「標準的な対応」として、そこから意図的に変更して対応する、というのはアリ ✓ 今までは、標準的な対応、が提示できていなかったから うまく使えば、脆弱性対応のコストを下げられるかもしれません。

12. 本提案書において使用されている商標は、フューチャー株式会社または他社の登録商標または登録出願中の商標です。