こんにちは。井上です。 FutureVulsは「日々更新される脆弱性情報を補足し、より効果的な運用・管理をサポートする」サービスですが。 2022/9/13リリースにて運用部分で有用なSSVC(Stakeholder-Specific Vulnerability Categorization)をサポートしました。 本稿では、脆弱性対応の現状からSSVCの説明、SSVCの適用例を説明します。 目次 脆弱性対応の現状 問題点 どうしたらよいのか SSVCとは 概要 どのような利点があるのか SSVCを適用する 従来の判断 SSVCでの判断 まとめ 脆弱性対応の現状脆弱性を検知した後にどのように判断/対応するのか、は悩みどころの多い問題です。 一般的には以下を考慮して対応を検討しています。 脆弱性自体の危険度 自システムへの影響度 対策難易度 未対策でのリスク その為、上記を判断する基準を組織で
