Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
vuls祭り6: 脆弱性対応指標としてのSSVC
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
hogehuga
August 26, 2022
Technology
0
440
vuls祭り6: 脆弱性対応指標としてのSSVC
SSVC: Stakeholder-Specific Vulnerability Categorizationについて、概要を説明します。
hogehuga
August 26, 2022
Tweet
Share
More Decks by hogehuga
See All by hogehuga
認知戦の理解と、市民としての対抗策
hogehuga
0
740
フライングガーデンLT
hogehuga
0
230
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
110
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
530
最近のドローン界隈(仮)
hogehuga
0
130
サウナととのい と 水風呂ととのい
hogehuga
0
170
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.6k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
260
Other Decks in Technology
See All in Technology
越境する組織づくり ─ 多様性を前提にしたチームビルディングとリードの実践知
kido_engineer
1
100
Oracle Cloud Infrastructure:2026年2月度サービス・アップデート
oracle4engineer
PRO
0
220
プロジェクトマネジメントをチームに宿す -ゼロからはじめるチームプロジェクトマネジメントは活動1年未満のチームの教科書です- / 20260304 Shigeki Morizane
shift_evolve
PRO
1
110
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
7
7.1k
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
4k
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
22k
EMからVPoEを経てCTOへ:マネジメントキャリアパスにおける葛藤と成長
kakehashi
PRO
6
850
パネルディスカッション資料 (at Tableau Now! - 2026-02-26)
yoshitakaarakawa
0
1.1k
生成AIの利用とセキュリティ /gen-ai-and-security
mizutani
1
1.2k
技術的負債の泥沼から組織を救う3つの転換点
nwiizo
7
2.1k
LY Tableauでの Tableau x AIの実践 (at Tableau Now! - 2026-02-26)
yoshitakaarakawa
0
1.3k
生成AI活用によるPRレビュー改善の歩み
lycorptech_jp
PRO
5
2k
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
The Cult of Friendly URLs
andyhume
79
6.8k
Into the Great Unknown - MozCon
thekraken
40
2.3k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
63
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
67
37k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Odyssey Design
rkendrick25
PRO
2
530
Become a Pro
speakerdeck
PRO
31
5.8k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
150
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
210
What does AI have to do with Human Rights?
axbom
PRO
1
2k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
470
Transcript
Confidential Copyright © 2022 by Future Corporation 脆弱性対応指標としてのSSVC Vuls祭り#6 2022年08月26日
フューチャー株式会社
Copyright © 2022 by Future Corporation Confidential - 2 -
サマリ 脆弱性対応の判断に使えそうな ”SSVC: Stakeholder-Specific Vulnerability Categorization” についてお話しします。 ◼ 脆弱性対応の現状と問題点 ◼ それを解決できそうな SSVC とは ◼ まとめ ※とても10分で話せる内容ではないので、今回は意義や概要をお話しします。 ※ご興味がある方は、別途ご連絡ください(FutureVulsの問合せ or 私個人宛)
Copyright © 2022 by Future Corporation Confidential - 3 -
who am i 所属 ◼ Future株式会社 CyberSecurity Innovation Group シニアコンサルタント 業務内容 ◼ セキュリティコンサルティング ➢ セキュリティアセスメント、脆弱性対応、インシデント対応、トレーニング、etc ◼ FutureVuls ➢ 営業/サポート/トレーニング ➢ 講演(サイバーコロッセオ等) ◼ 水風呂の伝道師 ➢ 156cmの水風呂、凍った皮を割って入る水風呂、水風呂での心身鍛錬(水風呂道) 当日投影
Confidential Copyright © 2022 by Future Corporation 1. 現状の脆弱性対応と問題点
Copyright © 2022 by Future Corporation Confidential - 5 -
現在行われている脆弱性の判断は、以下の様なものが多い ◼ CVSS Base Scoreが8.0以上のものはすべて対応 ➢ HIGH, CRITICALで対応、も同様 ◼ ニュースなどで話題になったものは対応する これらは以下の問題を含みます ◼ システム自体への影響度は示していない ➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない ◼ 実際のリスクを反映していない ➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している ✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない ◼ 対応のガイドを示さない ➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある
Confidential Copyright © 2022 by Future Corporation 2. それを解決できそうなSSVCとは
Copyright © 2022 by Future Corporation Confidential - 7 -
SSVCとは Stakeholder-Specific Vulnerability Categorization ->利害関係者固有の脆弱性の分類(by google translate) 原文の序章で目的が掛かれている ◼ 脆弱性管理においては利害関係者が多数いるため、主要機能で複数の利害関係者に 対応しておく必要がある。 ◼ 実用的な範囲で万能な解決策を回避することを目指す ◼ 意思決定をフレームワーク化することにより、脆弱性管理を改善する ◼ どのような形式の入出力があるかを決定し、範囲内の脆弱性管理の側面を決定し、時間 経過とともに変更を処理する方法を識別、等をする SSVCでは複数の利害関係者に対応できるように設計されているが、脆弱性管理の運用とい う側面では「Deployer」と呼ばれるグループを利用する。
Copyright © 2022 by Future Corporation Confidential - 8 -
以下の入力を行うことで、意思決定としての出力を行う ◼ 入力 ➢ Exploitation(攻撃コードの公開有無や、悪用レベル) ✓ : none/poc/active ➢ Exposure(脆弱なコンポーネントの露出レベル) ✓ : small/controlled/open ➢ Utility(対象システムの価値密度) ✓ Automatable(攻撃の自動化) ◆ : yes/no ✓ Value Density(対象システムの価値密度) ◆ : diffuse/concentrated ➢ Human Impact(=攻撃された際の業務影響) ✓ Situated Safety Impact(業務での被害の大きさ) ◆ : none/minor/major/hazardous/catastrophic ✓ Mission Impact(業務必須機能への影響) ◆ : none/degraded/crippled/mef failure/mission failure ◼ 出力 ➢ defer : 保留(許容) ➢ scheduled : 定期メンテナンスで対応 ➢ out-of-cycle : 定期メンテナンス外で対応 ➢ immediate : 即座に緊急な対応が必要 ツリーとして表現できる =決定木 - Decision Tree 各決定点 - DecisonPoint 出力 outcomes
Copyright © 2022 by Future Corporation Confidential - 9 -
今までと何が違うのか ◼ 具体的な意思決定を導ける ➢ 脆弱性それ自体の危険度ではなく、どのような行動をとるべきかが示される ➢ どうあるべきか、というガイドとして利用できる ◼ 透明かつ説明可能なアプローチ ➢ どのよう判断で意思決定がされたかが、明確になる ◼ 実際のリスクを基に判断ができる ➢ 対象のシステムの特性を考慮した判断ができる
Confidential Copyright © 2022 by Future Corporation 3. まとめ
Copyright © 2022 by Future Corporation Confidential - 11 -
まとめ SSVCを使うことで、以下の利点があると考えられる ◼ 脆弱性の危険度、ではなく、どうするか(Outcomes)が提示される ◼ どうするか(Outcomes)という、標準的な対応が示される ◼ 保護対象のシステム要求度により、どうするか(Outcomes)が自動で選択できる しかしながら、SSVCを使うには以下の点に注意が必要 a. そもそも、自システムの環境を理解しないといけない ➢ Value Density, Safety Impactの決定に必要 ➢ 但し、SSVCに限った話ではない b. おそらくは自動化が必須 ➢ PoCやExploitの有無、自動化可能性など、時間とともに変わる情報が必要となる ➢ 人力で対応するのは難しい為、何らかの方法で自動的に脆弱性の状況を定義/取得できる必要がある c. SSVCで導出される指標に従うことができるか ➢ SSVCのOutcomesで示されたものに従う、という事ができるかどうか ➢ Outcomesを「標準的な対応」として、そこから意図的に変更して対応する、というのはアリ ✓ 今までは、標準的な対応、が提示できていなかったから うまく使えば、脆弱性対応のコストを下げられるかもしれません。
本提案書において使用されている商標は、フューチャー株式会社または他社の登録商標または登録出願中の商標です。
hogehuga
kido_engineer
oracle4engineer
shift_evolve
sansan33
kakehashi
yoshitakaarakawa
mizutani
nwiizo
lycorptech_jp
bcantrill
andyhume
thekraken
akademiya2063
akihiro_kokubo
addyosmani
rkendrick25
speakerdeck
nikkihalliwell
techseoconnect
axbom
tammyeverts
