Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
vuls祭り6: 脆弱性対応指標としてのSSVC
Search
hogehuga
August 26, 2022
Technology
460
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
vuls祭り6: 脆弱性対応指標としてのSSVC
SSVC: Stakeholder-Specific Vulnerability Categorizationについて、概要を説明します。
hogehuga
August 26, 2022
More Decks by hogehuga
See All by hogehuga
認知戦の理解と、市民としての対抗策
hogehuga
0
800
フライングガーデンLT
hogehuga
0
250
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
130
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
540
最近のドローン界隈(仮)
hogehuga
0
140
サウナととのい と 水風呂ととのい
hogehuga
0
180
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.6k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.3k
第0回 脆弱性対応勉強会 資料
hogehuga
1
270
Other Decks in Technology
See All in Technology
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
line_developers_tw
PRO
0
800
ポケモンの型をTypeScriptの型システムで表現してみた
subroh0508
0
370
On-behalf-of Token exchange with AgentCore Identity
hironobuiga
2
150
AGENTS.mdとSkillsで始めるAIエージェント活用
sonoda_mj
3
200
なぜ Platform Engineering の土台に Kubernetes を選ぶのか
r4ynode
2
590
Claude Codeをどのように キャッチアップしているか
oikon48
6
4.1k
地球に⽣きるAI —GeoAIと「中間領域」— / AI Living on Earth — GeoAI and the “Intermediate Layer” —
ykiyota
0
280
脆弱性対応、どこで線を引くか
rymiyamoto
0
370
タクシーアプリ『GO』の実践的データ活用
mot_techtalk
3
190
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
line_developers_tw
PRO
0
800
「エンジニア進化論」2028年の開発完全自動化、エンジニアはどう進化するか
cyberagentdevelopers
PRO
5
4.5k
NAB Show 2026 動画技術関連レポート / NAB Show 2026 Report
cyberagentdevelopers
PRO
0
170
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1033
470k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
The Curious Case for Waylosing
cassininazir
1
380
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
Between Models and Reality
mayunak
4
330
How to build a perfect <img>
jonoalderson
1
5.6k
Marketing to machines
jonoalderson
1
5.4k
YesSQL, Process and Tooling at Scale
rocio
174
15k
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.7k
Accessibility Awareness
sabderemane
1
140
HDC tutorial
michielstock
2
700
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
240
Transcript
Confidential Copyright © 2022 by Future Corporation 脆弱性対応指標としてのSSVC Vuls祭り#6 2022年08月26日
フューチャー株式会社
Copyright © 2022 by Future Corporation Confidential - 2 -
サマリ 脆弱性対応の判断に使えそうな ”SSVC: Stakeholder-Specific Vulnerability Categorization” についてお話しします。 ◼ 脆弱性対応の現状と問題点 ◼ それを解決できそうな SSVC とは ◼ まとめ ※とても10分で話せる内容ではないので、今回は意義や概要をお話しします。 ※ご興味がある方は、別途ご連絡ください(FutureVulsの問合せ or 私個人宛)
Copyright © 2022 by Future Corporation Confidential - 3 -
who am i 所属 ◼ Future株式会社 CyberSecurity Innovation Group シニアコンサルタント 業務内容 ◼ セキュリティコンサルティング ➢ セキュリティアセスメント、脆弱性対応、インシデント対応、トレーニング、etc ◼ FutureVuls ➢ 営業/サポート/トレーニング ➢ 講演(サイバーコロッセオ等) ◼ 水風呂の伝道師 ➢ 156cmの水風呂、凍った皮を割って入る水風呂、水風呂での心身鍛錬(水風呂道) 当日投影
Confidential Copyright © 2022 by Future Corporation 1. 現状の脆弱性対応と問題点
Copyright © 2022 by Future Corporation Confidential - 5 -
現在行われている脆弱性の判断は、以下の様なものが多い ◼ CVSS Base Scoreが8.0以上のものはすべて対応 ➢ HIGH, CRITICALで対応、も同様 ◼ ニュースなどで話題になったものは対応する これらは以下の問題を含みます ◼ システム自体への影響度は示していない ➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない ◼ 実際のリスクを反映していない ➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している ✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない ◼ 対応のガイドを示さない ➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある
Confidential Copyright © 2022 by Future Corporation 2. それを解決できそうなSSVCとは
Copyright © 2022 by Future Corporation Confidential - 7 -
SSVCとは Stakeholder-Specific Vulnerability Categorization ->利害関係者固有の脆弱性の分類(by google translate) 原文の序章で目的が掛かれている ◼ 脆弱性管理においては利害関係者が多数いるため、主要機能で複数の利害関係者に 対応しておく必要がある。 ◼ 実用的な範囲で万能な解決策を回避することを目指す ◼ 意思決定をフレームワーク化することにより、脆弱性管理を改善する ◼ どのような形式の入出力があるかを決定し、範囲内の脆弱性管理の側面を決定し、時間 経過とともに変更を処理する方法を識別、等をする SSVCでは複数の利害関係者に対応できるように設計されているが、脆弱性管理の運用とい う側面では「Deployer」と呼ばれるグループを利用する。
Copyright © 2022 by Future Corporation Confidential - 8 -
以下の入力を行うことで、意思決定としての出力を行う ◼ 入力 ➢ Exploitation(攻撃コードの公開有無や、悪用レベル) ✓ : none/poc/active ➢ Exposure(脆弱なコンポーネントの露出レベル) ✓ : small/controlled/open ➢ Utility(対象システムの価値密度) ✓ Automatable(攻撃の自動化) ◆ : yes/no ✓ Value Density(対象システムの価値密度) ◆ : diffuse/concentrated ➢ Human Impact(=攻撃された際の業務影響) ✓ Situated Safety Impact(業務での被害の大きさ) ◆ : none/minor/major/hazardous/catastrophic ✓ Mission Impact(業務必須機能への影響) ◆ : none/degraded/crippled/mef failure/mission failure ◼ 出力 ➢ defer : 保留(許容) ➢ scheduled : 定期メンテナンスで対応 ➢ out-of-cycle : 定期メンテナンス外で対応 ➢ immediate : 即座に緊急な対応が必要 ツリーとして表現できる =決定木 - Decision Tree 各決定点 - DecisonPoint 出力 outcomes
Copyright © 2022 by Future Corporation Confidential - 9 -
今までと何が違うのか ◼ 具体的な意思決定を導ける ➢ 脆弱性それ自体の危険度ではなく、どのような行動をとるべきかが示される ➢ どうあるべきか、というガイドとして利用できる ◼ 透明かつ説明可能なアプローチ ➢ どのよう判断で意思決定がされたかが、明確になる ◼ 実際のリスクを基に判断ができる ➢ 対象のシステムの特性を考慮した判断ができる
Confidential Copyright © 2022 by Future Corporation 3. まとめ
Copyright © 2022 by Future Corporation Confidential - 11 -
まとめ SSVCを使うことで、以下の利点があると考えられる ◼ 脆弱性の危険度、ではなく、どうするか(Outcomes)が提示される ◼ どうするか(Outcomes)という、標準的な対応が示される ◼ 保護対象のシステム要求度により、どうするか(Outcomes)が自動で選択できる しかしながら、SSVCを使うには以下の点に注意が必要 a. そもそも、自システムの環境を理解しないといけない ➢ Value Density, Safety Impactの決定に必要 ➢ 但し、SSVCに限った話ではない b. おそらくは自動化が必須 ➢ PoCやExploitの有無、自動化可能性など、時間とともに変わる情報が必要となる ➢ 人力で対応するのは難しい為、何らかの方法で自動的に脆弱性の状況を定義/取得できる必要がある c. SSVCで導出される指標に従うことができるか ➢ SSVCのOutcomesで示されたものに従う、という事ができるかどうか ➢ Outcomesを「標準的な対応」として、そこから意図的に変更して対応する、というのはアリ ✓ 今までは、標準的な対応、が提示できていなかったから うまく使えば、脆弱性対応のコストを下げられるかもしれません。
本提案書において使用されている商標は、フューチャー株式会社または他社の登録商標または登録出願中の商標です。
hogehuga
line_developers_tw
subroh0508
hironobuiga
sonoda_mj
r4ynode
oikon48
ykiyota
rymiyamoto
mot_techtalk
cyberagentdevelopers
jonrohan
aleyda
cassininazir
katarinadahlin
mayunak
jonoalderson
rocio
lindahogenes
sabderemane
michielstock
nikkihalliwell
