SOMPO CYBER SECURITY
SSVC(Stakeholder-Specific Vulnerabiliry Categorization)は脆弱性管理についての方法論です。日本語では「ステークホルダーに特化した脆弱性の分類」という意味合いです。
米CISAはSSVCについて、影響を受ける製品、安全への影響、悪用状況に基づいた脆弱性調査および復旧優先付けの方法論であると定義しています。この方法論は2019年にカーネギーメロン大学とCISA共同で作成されました。
SSVCによる脆弱性判定は、米CISA公式Webサイトの計算システムによって容易に実行することができます。
SSVC方法論および、「悪用が確認されている脆弱性カタログ」、CSAF、VEXなどを利用することにより、攻撃者が狙うアタックサーフェスを低減することができるとしてCISAは脆弱性管理に関するアドバイスを公開しています。