CISA が SSVC を公開：パッチの優先順位とディシジョン・ツリー・モデル

CISA Releases Decision Tree Model to Help Companies Prioritize Vulnerability Patching

2022/11/11 SecurityWeek — 11月10日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性パッチの優先順位を付ける組織が、ディシジョン・ツリー・モデルを用いる際に役立つ SSVC (Stakeholder-Specific Vulnerability Categorization) ガイドを公開した。SSVC システムは、CISA とカーネギーメロン大学の Software Engineering Institute (SEI) が 2019年に作成したものだ。翌年である 2022年に CISA は、政府機関や重要インフラ組織に関連するセキュリティ欠陥に対して、独自にカスタマイズした SSVC デジション・ツリーを作成している。

そして、いまの CISA は、あらゆる規模の組織に対して、CISA 版の SSVC を用いて脆弱性を管理するよう働きかけている。この SSVC により、企業が脆弱性対応の優先順位を決定する際に有益な、カスタマイズされたディシジョン・ツリー・モデルが提供される。

CISA の SSVC は、それぞれの脆弱性を、下記の４つのカテゴリのいずれかに分類することを支援する：

• Track – 現時点では対処の必要はないが、標準的な更新スケジュールでパッチ適用する必要がある。
• Track* – 変化をより詳細に監視する必要があり、標準的な更新スケジュールでパッチ適用する必要がある。
• Attend – 社内のスーパーバイザーの注意を必要とし、標準的な更新スケジュールよりも素早く対処する必要がある。
• Act – スーパーバイザーやリーダーレベルの注意を必要とし、可能な限り迅速に対処する必要がある。

SSVC ツリーは、脆弱性の悪用状況／技術的影響／自動化の可否／ミッション・クリティカル機能への影響／システム侵害による人体への影響などに基づき、ユーザーによる意思決定が可能になるよう支援する。

CISA は、SSVC と併用するものとして、KEV (Known Exploited Vulnerabilities) カタログ／CSAF (Common Security Advisory Framework) マシン・リーダブル・セキュリティ・アドバイザリ／VEX (Vulnerability Exploitability eXchange) などを推奨している。

NetRise で Director と Field Engineering を兼任する Derek McCarthy は、 「いまでは、闇雲に CVSS スコアだけを用いて、脆弱性の優先順位付けを行うべきではないことを、業界の誰もが 理解している。SSVC は、それぞれの環境における脆弱性への対処を決定する際に考慮すべき、すべての要素を列挙している素晴らしい取り組みだ。それぞれの組織が、SSVC フレームワークの目標を反映した脆弱性管理の方針と手順を、より簡単に消化／実施できるようになることが理想だ。いくつか詳細を、より適切に煮詰めていく上で、この CISA の拡張作業が貴重であることが、証明されるはずだ」と述べている。

CISA の SSVC (Stakeholder-Specific Vulnerability Categorization) ですが、とても具体性のある試みだと思います。2021年11月から運用が開始された KEV (Known Exploited Vulnerabilities) も、すでに800件を超える、悪用が検出された脆弱性をリストアップするという、とても貴重なリソースになっています。この後にポストする、「CVE 管理は主要な戦略ではない：攻撃者が用いる手口に注目すべきだ」では、「重要な 15% の脆弱性と、その他の 85% の脆弱性を、どのように区別するかという理解が失われている」と指摘されており、まさにCISA の方向性と一致する論点が語られています。最初のステップである、ソフトウェア資産の台帳さえ作成できれば、その先に光が見えてくるように感じます。