脆弱性管理の最新手法:SSVCとは
セキュリティを知りたい
先生、「SSVC」って最近よく聞くんですけど、どんなものなんですか?
セキュリティ研究家
「SSVC」は、簡単に言うと、セキュリティの弱点をそれぞれの立場に合わせて、きちんと整理して、優先順位を決める方法なんだよ。
セキュリティを知りたい
それぞれの立場っていうのは、どういうことですか?
セキュリティ研究家
例えば、会社全体にとって重要な弱点と、お客さんにとって特に影響が大きい弱点って違うよね? SSVCは、誰にとってどんな影響があるのかを考えて、セキュリティ対策の優先順位を決めるのに役立つんだよ。
SSVCとは。
安全性を高めるための知恵として、『SSVC』というものがあります。『SSVC』は、正式には『ステークホルダーに特化した脆弱性の分類』と言い、脆弱性管理に関する方法論です。簡単に言うと、関係者ごとに異なる弱点を踏まえて、その危険度合いを分類する方法です。アメリカのCISAという機関は、SSVCについて、影響を受ける製品、安全性への影響、悪用の現状を基に、脆弱性を調査し、復旧の優先順位をつける方法論だと説明しています。この方法は、2019年にカーネギーメロン大学とCISAが共同で作り出しました。
はじめに
– はじめにと
昨今、インターネットの普及に伴い、企業活動や私たちの日常生活はネットワークに接続されたシステムに大きく依存するようになりました。それと同時に、情報漏えいやサービス停止などのセキュリティ事故のリスクも増大しており、セキュリティ対策の重要性はこれまで以上に高まっています。
日々発見されるシステムの脆弱性は膨大な数に上り、その全てに対応することは現実的ではありません。限られた資源を有効活用するためには、自社のシステムにとって本当に危険な脆弱性を見極め、優先順位をつけて対策を行う「脆弱性管理」が重要となります。
そこで今回は、従来の手法よりも効果的かつ効率的な脆弱性管理を実現する、最新の考え方である「SSVC」について解説していきます。
SSVCの概要
– SSVCの概要
SSVC(ステークホルダーに特化した脆弱性の分類)とは、システムの欠陥を様々な立場から評価し、その影響度を測る方法です。従来のCVSSのような、どちらかといえば技術的な側面から脆弱性の深刻度を評価する方法とは一線を画し、SSVCはそれぞれの立場における影響度合いを重視します。
例えば、あるシステムの欠陥が、利用者にとってはさほど大きな影響を与えないものであっても、システムの運営者にとっては深刻な問題となる場合があります。SSVCは、このような従来の手法では見過ごされてしまう可能性のあるリスクを浮き彫りにし、より的確な対策を立てることを可能にします。
この手法は、2019年にアメリカのカーネギーメロン大学と、国の安全を守るための機関である米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が共同で開発しました。SSVCは、それぞれの立場におけるリスクを明確にすることで、組織全体の安全性を高めることを目的とした、新しい脆弱性評価のアプローチと言えるでしょう。
| 項目 | 内容 |
|---|---|
| SSVCの定義 | システムの欠陥を様々な立場から評価し、影響度を測る方法 |
| 従来手法との違い | 技術的な側面だけでなく、それぞれの立場における影響度合いを重視 |
| SSVCの利点 | 従来手法では見過ごされる可能性のあるリスクを浮き彫りにし、的確な対策を立てることを可能にする。 |
| 開発元 | アメリカのカーネギーメロン大学と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA) |
| SSVCの目的 | それぞれの立場におけるリスクを明確にすることで、組織全体の安全性を高める。 |
SSVCの特徴
– SSVCの特徴SSVCは、従来の脆弱性評価指標であるCVSSとは異なる視点を持つ評価手法です。CVSSが脆弱性そのものの技術的な危険度を評価することに重点を置いていたのに対し、SSVCは組織の状況や事業内容、保護すべき情報資産などを総合的に考慮します。つまり、単に技術的な観点だけでなく、組織にとっての重要度というビジネス的な観点を加味することで、より実用的かつ効果的な脆弱性対策を可能にするのです。具体的には、まず組織にとって重要な情報資産を特定し、それらがどのような脅威にさらされる可能性があるかを分析します。そして、それぞれの脅威が現実化した場合に組織に与える影響度を評価し、その影響度に基づいて脆弱性の優先順位を付けます。例えば、ウェブサイトの脆弱性と顧客情報データベースの脆弱性が発見されたとします。技術的な危険度だけで判断すれば、顧客情報データベースの脆弱性の方が深刻かもしれません。しかし、ウェブサイトが改ざんされた場合、顧客の信頼を失い、事業に大きな損害を与える可能性があります。SSVCでは、このような事業への影響度を考慮することで、ウェブサイトの脆弱性対策を優先するといった判断が可能になります。このように、SSVCを用いることで、限られたリソースの中で、組織にとって最も効果的なセキュリティ対策を実施することができるようになります。
| 評価手法 | 特徴 | メリット |
|---|---|---|
| CVSS | 脆弱性そのものの技術的な危険度を評価 | – |
| SSVC | 組織の状況や事業内容、保護すべき情報資産などを総合的に考慮 組織にとっての重要度というビジネス的な観点を加味 |
より実用的かつ効果的な脆弱性対策が可能になる 限られたリソースの中で、組織にとって最も効果的なセキュリティ対策を実施できる |
SSVCの評価軸
– SSVCの評価軸SSVCでは、発見された脆弱性の深刻度を評価するために、「影響を受ける製品」「安全への影響」「悪用状況」という三つの重要な軸を基準に判断します。組織は、それぞれの軸に対して具体的な評価基準を独自に設定することで、より詳細かつ組織の実態に即した脆弱性分析を行うことができます。まず、「影響を受ける製品」とは、その脆弱性によって影響を受ける製品が、組織にとってどれほど重要なものかを評価します。例えば、重要な顧客情報を取り扱う主要システムに利用されている製品なのか、社内ネットワークの一部で使われているだけの製品なのかによって、その影響度は大きく異なります。重要なシステムであればあるほど、評価は深刻なものになります。次に、「安全への影響」とは、脆弱性を悪用された場合に、人々の生命や安全に影響が及ぶ可能性があるかどうかを評価します。例えば、医療機器や電力制御システムなど、人命に関わるシステムへの影響が想定される場合、その脆弱性は極めて危険なものとして扱われます。最後に「悪用状況」とは、該当する脆弱性が実際に悪用される可能性がどれほど高いかを評価します。既に悪用の事実が確認されている脆弱性や、悪用が容易な脆弱性は、たとえ影響範囲が限定的であっても、優先的に対処すべき重要な課題として認識されます。このように、SSVCの三つの評価軸を用いることで、組織は自社の状況に合わせて脆弱性の深刻度をより正確に評価し、適切な対策を講じることができます。
| 評価軸 | 内容 | 具体例 |
|---|---|---|
| 影響を受ける製品 | 脆弱性による影響を受ける製品の、組織にとっての重要度を評価 | 顧客情報を取り扱う主要システム、社内ネットワークの一部で使われている製品 |
| 安全への影響 | 脆弱性悪用時の人々の生命や安全への影響の可能性を評価 | 医療機器、電力制御システム |
| 悪用状況 | 脆弱性が実際に悪用される可能性の高さを評価 | 悪用の事実が確認されている脆弱性、悪用が容易な脆弱性 |
SSVCの活用
– SSVCの活用
SSVC(Security Scorecard for Vulnerability Check)は、組織の規模や業種に関わらず、あらゆる組織の弱点管理に役立てることができます。特に、電力やガス、水道といった生活に欠かせない重要なサービスを提供する事業者や、金融機関、大企業などのように、膨大な数のシステムや情報を扱う組織では、限られた人員や予算を効率的に使うためにSSVCの導入が推奨されます。
SSVCは、組織全体のセキュリティレベルを点数化する仕組みです。この点数化によって、セキュリティ対策の現状を分かりやすく把握することができます。SSVCに基づいた弱点管理体制を構築することで、組織はより正確にリスクを把握し、その組織にとって最も効果的なセキュリティ対策を実施することができるようになります。
例えば、SSVCを活用することで、緊急度の高い弱点から優先的に対策を行うことができます。また、組織全体のセキュリティレベルを継続的に測定することで、対策の効果を把握し、改善していくことができます。
SSVCは、組織のセキュリティレベル向上のための強力なツールとなります。組織はSSVCを活用することで、限られた資源を最大限に活用し、より強固なセキュリティ体制を構築することができます。
| 項目 | 内容 |
|---|---|
| SSVCの定義 | 組織のセキュリティレベルを点数化する仕組み |
| SSVCのメリット | – セキュリティ対策の現状を分かりやすく把握できる – 組織にとって最も効果的なセキュリティ対策を実施できる – 緊急度の高い弱点から優先的に対策を行うことができる – 対策の効果を把握し、改善していくことができる |
| SSVC導入の推奨組織 | – 電力、ガス、水道などの重要インフラ事業者 – 金融機関 – 大企業など、膨大な数のシステムや情報を扱う組織 |
| SSVCの効果 | 限られた資源を最大限に活用し、より強固なセキュリティ体制を構築できる |
まとめ
今回は、最新の脆弱性管理手法であるSSVCについて解説しました。
従来の脆弱性管理では、発見された脆弱性すべてに対して、緊急度に関わらず対応することが一般的でした。しかし、実際にはリソースや時間には限りがあり、すべての脆弱性に対応することは困難です。そこで生まれたのがSSVCという考え方です。
SSVCは、組織の事業内容やシステムの重要度、脆弱性の影響度などを考慮し、優先順位をつけて対応するという手法です。具体的には、まず組織の資産を洗い出し、それぞれの重要度を評価します。次に、システムに存在する脆弱性を分析し、それぞれの脆弱性が悪用された場合の影響度を評価します。そして、これらの評価結果に基づいて、どの脆弱性から対応するべきかの優先順位を決定します。
SSVCを導入することで、限られたリソースを有効活用し、より効率的かつ効果的なセキュリティ対策を実施することができます。結果として、組織全体のセキュリティレベル向上に貢献することができます。ぜひ、自社のセキュリティ対策にSSVCを導入することを検討してみてください。
| 従来の脆弱性管理 | SSVC |
|---|---|
| 発見された脆弱性すべてに緊急度に関わらず対応 | 組織の事業内容やシステムの重要度、脆弱性の影響度などを考慮し、優先順位をつけて対応 |
| リソースや時間の制約に対応困難 | 限られたリソースを有効活用し、効率的かつ効果的なセキュリティ対策を実施可能 |