SSVC #

SSVC（Stakeholder-Specific Vulnerability Categorization）は、脆弱性管理を目的とした決定木モデルに基づくフレームワークです。デプロイヤー、サプライヤー、コーディネーターといった各ステークホルダーに個別の決定木を提供し、脆弱性対応の優先順位を決定します。
従来のCVSSは、脆弱性の深刻度を一律の数値で評価しますが、個々の組織の特性や状況に応じた対応方針を決定するには不十分な場合があります。
SSVCはこの課題を解決し、組織の特性やニーズに応じた具体的な対応方針を導き出すために設計されています。

ステークホルダーと決定木 #

SSVCでは、次のステークホルダーに対して特定の決定木が用意されています。これにしたがって、脆弱性対応の優先度を決定します。

• デプロイヤー（Deployer）：ソフトウェアパッケージを利用して開発を行う組織
• サプライヤー（Supplier）：ソフトウェアベンダーやパッチを提供する組織
• コーディネーター（Coordinator）：脆弱性情報を統制する組織（例：CSIRT）

決定木は、複数の条件分岐からなるツリー形式で表現され、ユーザーが設問に答えることで最終的な判断が導き出されます。 決定木は複数の決定ポイント（Decision Point）で構成され、各ポイントでの選択肢に基づき、最終的な脆弱性対応の優先度（Track、Track*、Attend、Act）が決まります。

決定ポイントは以下の5つです。

• Exploitation：攻撃コードの公開状況や悪用の程度
• Exposure：脆弱性が外部からアクセス可能かどうか
• Technical Impact：脆弱性の技術的な影響度
• Mission Impact：組織のミッション遂行への影響度
• Safety Impact：安全への影響度

最終的な優先度は、以下の4種類で示されます。

• Track：監視を継続する
• Track＊：監視を継続し、特定の条件が満たされた場合に次のアクションを考慮する
• Attend：注意を払い、対応の準備を始める
• Act：即時に対応行動を取る

SSVCの適切な決定木を選択する際には、ステークホルダーの役割、組織の特性とニーズ、具体的な判断条件、そして組織の規模と運用体制を考慮する必要があります。

SSVCのメリット #

1. 環境を考慮した評価
   SSVCは、従来のCVSSのような一律のスコアリングシステムとは異なり、組織固有の状況（使用環境、ビジネスへの影響など）を考慮して評価します。これにより、組織にとって最も重要な脆弱性に優先的に対応できます。

2. 自動化による効率化
   SSVCは、自動化が可能であり、以下のプロセスを通じて効率化を促進します。 これにより、脆弱性の検出から対応までの時間を大幅に短縮し、人的ミスの削減にもつながります。

• 脆弱性スキャナと連携して検出された脆弱性を自動的にSSVCの決定木に入力する
• 脅威インテリジェンスフィードと連携し、最新の攻撃トレンドを評価に反映する
• チケットシステムと連携し、優先度に基づいて自動的にタスクを割り当てる

3. 柔軟に適用できること
   SSVCは、組織の規模や特性に合わせてカスタマイズが可能であり、特定の業界やニーズに対応させることができます。 これにより、一般的な脆弱性管理手法が持つ一律なアプローチから脱却し、より効果的なリスク管理が可能になります。