SSVCとは【用語集詳細】
SSVC(Stakeholder-Specific Vulnerability Categorization)は脆弱性管理についての方法論です。日本語では「ステークホルダーに特化した脆弱性の分類」という意味合いです。
米CISAはSSVCについて、影響を受ける製品、安全への影響、悪用状況に基づいた脆弱性調査および復旧優先付けの方法論であると定義しています。この方法論は2019年にカーネギーメロン大学とCISA共同で作成されました。
・悪用されているか(PoCが存在するか、実際に攻撃者が悪用しているか)
・技術的インパクト(ソフトウェアの一部に対する影響か、システム全体を乗っ取り可能か)
・攻撃を自動化できるか
・業務・外部への影響(業務や社会に影響を与えるかどうか)
上述の項目を検討した後、最終的な脆弱性スコアリングとして「モニタリング(Track)」、「注意深くモニタリング(Track*)」、「検討が必要(Attend)」、「対処が必要(Act)」の4段階に判定されます。
SSVCによる脆弱性判定は、米CISA公式Webサイトの計算システムによって容易に実行することができます。
SSVC方法論および、「悪用が確認されている脆弱性カタログ」、CSAF、VEXなどを利用することにより、攻撃者が狙うアタックサーフェスを低減することができるとしてCISAは脆弱性管理に関するアドバイスを公開しています。
2024.9.6 「Vulnerability」の語に誤記があったため修正しました。ご指摘いただきありがとうございます。
