Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
vuls祭り6: 脆弱性対応指標としてのSSVC
Search
hogehuga
August 26, 2022
Technology
0
410
vuls祭り6: 脆弱性対応指標としてのSSVC
SSVC: Stakeholder-Specific Vulnerability Categorizationについて、概要を説明します。
hogehuga
August 26, 2022
Tweet
Share
More Decks by hogehuga
See All by hogehuga
フライングガーデンLT
hogehuga
0
210
第34回 総関西サイバーセキュリティLT大会
hogehuga
0
94
第09回脆弱性対応勉強会(脆弱性管理製品を知る)
hogehuga
1
480
最近のドローン界隈(仮)
hogehuga
0
110
サウナととのい と 水風呂ととのい
hogehuga
0
160
脆弱性対応勉強会Vol.2 Vulsハンズオン
hogehuga
0
1.5k
IoTSecJP_Tokyo_#5-DroneCollection2019
hogehuga
1
2.2k
第0回 脆弱性対応勉強会 資料
hogehuga
1
230
preview:第0回 脆弱性対応勉強会 資料
hogehuga
0
120
Other Decks in Technology
See All in Technology
Observability в PHP без боли. Олег Мифле, тимлид Altenar
lamodatech
0
260
20250625 Snowflake Summit 2025活用事例 レポート / Nowcast Snowflake Summit 2025 Case Study Report
kkuv
1
160
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
tiltmax3
0
220
AIのAIによるAIのための出力評価と改善
chocoyama
0
470
DenoとJSRで実現する最速MCPサーバー開発記 / Building MCP Servers at Lightning Speed with Deno and JSR
yamanoku
1
260
OTFSG勉強会 / Introduction to the History of Delta Lake + Iceberg
databricksjapan
0
120
SFTPコンテナからファイルをダウンロードする
dip_tech
PRO
0
580
_第3回__AIxIoTビジネス共創ラボ紹介資料_20250617.pdf
iotcomjpadmin
0
140
登壇ネタの見つけ方 / How to find talk topics
pinkumohikan
2
160
Clineを含めたAIエージェントを 大規模組織に導入し、投資対効果を考える / Introducing AI agents into your organization
i35_267
4
1.3k
ユーザーのプロフィールデータを活用した推薦精度向上の取り組み
yudai00
0
470
Welcome to the LLM Club
koic
0
130
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
41
7.3k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
228
22k
The Pragmatic Product Professional
lauravandoore
35
6.7k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.5k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
43
2.4k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
480
The Cost Of JavaScript in 2023
addyosmani
51
8.4k
Statistics for Hackers
jakevdp
799
220k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Agile that works and the tools we love
rasmusluckow
329
21k
Transcript
Confidential Copyright © 2022 by Future Corporation 脆弱性対応指標としてのSSVC Vuls祭り#6 2022年08月26日
フューチャー株式会社
Copyright © 2022 by Future Corporation Confidential - 2 -
サマリ 脆弱性対応の判断に使えそうな ”SSVC: Stakeholder-Specific Vulnerability Categorization” についてお話しします。 ◼ 脆弱性対応の現状と問題点 ◼ それを解決できそうな SSVC とは ◼ まとめ ※とても10分で話せる内容ではないので、今回は意義や概要をお話しします。 ※ご興味がある方は、別途ご連絡ください(FutureVulsの問合せ or 私個人宛)
Copyright © 2022 by Future Corporation Confidential - 3 -
who am i 所属 ◼ Future株式会社 CyberSecurity Innovation Group シニアコンサルタント 業務内容 ◼ セキュリティコンサルティング ➢ セキュリティアセスメント、脆弱性対応、インシデント対応、トレーニング、etc ◼ FutureVuls ➢ 営業/サポート/トレーニング ➢ 講演(サイバーコロッセオ等) ◼ 水風呂の伝道師 ➢ 156cmの水風呂、凍った皮を割って入る水風呂、水風呂での心身鍛錬(水風呂道) 当日投影
Confidential Copyright © 2022 by Future Corporation 1. 現状の脆弱性対応と問題点
Copyright © 2022 by Future Corporation Confidential - 5 -
現在行われている脆弱性の判断は、以下の様なものが多い ◼ CVSS Base Scoreが8.0以上のものはすべて対応 ➢ HIGH, CRITICALで対応、も同様 ◼ ニュースなどで話題になったものは対応する これらは以下の問題を含みます ◼ システム自体への影響度は示していない ➢ CVSSは脆弱性それ自体の影響度を示すものであり、実際のシステム上での影響を示さない ◼ 実際のリスクを反映していない ➢ システムの価値を反映しておらず、脆弱性の影響度のみを考慮している ✓ CVSS TemoralやEnvironmentalで反映は可能だが、事実上使われていない ◼ 対応のガイドを示さない ➢ システム自体の影響度のみを示している為、各組織で意思決定をしていく必要がある
Confidential Copyright © 2022 by Future Corporation 2. それを解決できそうなSSVCとは
Copyright © 2022 by Future Corporation Confidential - 7 -
SSVCとは Stakeholder-Specific Vulnerability Categorization ->利害関係者固有の脆弱性の分類(by google translate) 原文の序章で目的が掛かれている ◼ 脆弱性管理においては利害関係者が多数いるため、主要機能で複数の利害関係者に 対応しておく必要がある。 ◼ 実用的な範囲で万能な解決策を回避することを目指す ◼ 意思決定をフレームワーク化することにより、脆弱性管理を改善する ◼ どのような形式の入出力があるかを決定し、範囲内の脆弱性管理の側面を決定し、時間 経過とともに変更を処理する方法を識別、等をする SSVCでは複数の利害関係者に対応できるように設計されているが、脆弱性管理の運用とい う側面では「Deployer」と呼ばれるグループを利用する。
Copyright © 2022 by Future Corporation Confidential - 8 -
以下の入力を行うことで、意思決定としての出力を行う ◼ 入力 ➢ Exploitation(攻撃コードの公開有無や、悪用レベル) ✓ : none/poc/active ➢ Exposure(脆弱なコンポーネントの露出レベル) ✓ : small/controlled/open ➢ Utility(対象システムの価値密度) ✓ Automatable(攻撃の自動化) ◆ : yes/no ✓ Value Density(対象システムの価値密度) ◆ : diffuse/concentrated ➢ Human Impact(=攻撃された際の業務影響) ✓ Situated Safety Impact(業務での被害の大きさ) ◆ : none/minor/major/hazardous/catastrophic ✓ Mission Impact(業務必須機能への影響) ◆ : none/degraded/crippled/mef failure/mission failure ◼ 出力 ➢ defer : 保留(許容) ➢ scheduled : 定期メンテナンスで対応 ➢ out-of-cycle : 定期メンテナンス外で対応 ➢ immediate : 即座に緊急な対応が必要 ツリーとして表現できる =決定木 - Decision Tree 各決定点 - DecisonPoint 出力 outcomes
Copyright © 2022 by Future Corporation Confidential - 9 -
今までと何が違うのか ◼ 具体的な意思決定を導ける ➢ 脆弱性それ自体の危険度ではなく、どのような行動をとるべきかが示される ➢ どうあるべきか、というガイドとして利用できる ◼ 透明かつ説明可能なアプローチ ➢ どのよう判断で意思決定がされたかが、明確になる ◼ 実際のリスクを基に判断ができる ➢ 対象のシステムの特性を考慮した判断ができる
Confidential Copyright © 2022 by Future Corporation 3. まとめ
Copyright © 2022 by Future Corporation Confidential - 11 -
まとめ SSVCを使うことで、以下の利点があると考えられる ◼ 脆弱性の危険度、ではなく、どうするか(Outcomes)が提示される ◼ どうするか(Outcomes)という、標準的な対応が示される ◼ 保護対象のシステム要求度により、どうするか(Outcomes)が自動で選択できる しかしながら、SSVCを使うには以下の点に注意が必要 a. そもそも、自システムの環境を理解しないといけない ➢ Value Density, Safety Impactの決定に必要 ➢ 但し、SSVCに限った話ではない b. おそらくは自動化が必須 ➢ PoCやExploitの有無、自動化可能性など、時間とともに変わる情報が必要となる ➢ 人力で対応するのは難しい為、何らかの方法で自動的に脆弱性の状況を定義/取得できる必要がある c. SSVCで導出される指標に従うことができるか ➢ SSVCのOutcomesで示されたものに従う、という事ができるかどうか ➢ Outcomesを「標準的な対応」として、そこから意図的に変更して対応する、というのはアリ ✓ 今までは、標準的な対応、が提示できていなかったから うまく使えば、脆弱性対応のコストを下げられるかもしれません。
本提案書において使用されている商標は、フューチャー株式会社または他社の登録商標または登録出願中の商標です。