カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

こんにちは、丸山満彦です。

カーネギー大学ソフトウェア工学研究所

● Carnegie Mellon University - Software Engineering Institute

・2021.04 Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0)

CVSSが脆弱性についての数値をアウトプットとして出すのに対して、SSVCはとるべき対応をアウトプットして出すところがポイントですかね。。。現場の利用者としては、CVSSの数値を受け取ってもどのように対応すべきかについての判断がもう一段必要となっていたので、SSVCでは利用者に応じた対応を意思決定ツリーに従って導くことになっていますね。。。

これから普及していくのだろうと思います。。。

・[PDF] 

Contents	目次
Introduction	序論
Current state of practice	実践の現状
Representing Information for Decisions About Vulnerabilities	脆弱性に関する意思決定のための情報表現
Formalization Options	形式化の選択肢
Decision Trees	決定木
Representation choices	表現方法の選択
Vulnerability Management Decisions	脆弱性管理の意思決定
Enumerating Stakeholders	ステークホルダーの列挙
Enumerating Decisions	決定事項の列挙
Enumerating Vulnerability Management Actions	脆弱性管理アクションの列挙
Items With the Same Priority	同じ優先順位の項目
Risk Tolerance and Response Priority	リスク許容度と対応の優先順位
Scope	範囲
Reasoning Steps Forward	推論のステップアップ
Likely Decision Points and Relevant Data	想定される判断材料と関連データ
Exploitation	Exploitation
Technical Impact	テクニカルインパクト
Utility	実用性
Automatable	自動化
Value Density	価値密度
Safety Impact	安全性への影響
Mission Impact	ミッションへの影響
Human Impact	人間への影響
System Exposure	システムへの影響
Decisions During Vulnerability Coordination	脆弱性の調整時の判断
Coordination Triage Decisions	コーディネート トリアージの決定
Coordinator Decision Points	コーディネーターの判断ポイント
Coordination Triage Decision Process	コーディネーション・トリアージの決定プロセス
Publication Decision	出版決定
Prioritization	優先順位付け
Supplier Tree	サプライヤーツリー
Deployer Tree	デプロイメント・ツリー
Coordinator trees	コーディネーターのツリー
Tree Construction and Customization Guidance	ツリーの構築とカスタマイズのガイダンス
Guidance for Evidence Gathering	エビデンス収集のガイダンス
Relationship to asset management	資産管理との関係
Development Methodology	開発方法のガイダンス
Guidance on Communicating Results	結果を伝えるためのガイダンス
Communication Formats	コミュニケーションフォーマット
Partial or Incomplete Information	部分的または不完全な情報
Information Changes Over Time	時間の経過による情報の変化
Version 2 Changelog	バージョン2の変更箇所
Coordinator stakeholder	コーディネーター関係者
Terminology changes	用語の変更
Improvements to decision points	ディシジョンポイントの改善
Tree management and communication tools	ツリーの管理とコミュニケーションツール
Evaluation of the Draft Trees	ドラフトツリーの評価
Pilot Methodology	パイロット方法論
Pilot Results	試験結果
Improvements Instigated by the Pilot	試験的に導入された改善策
Worked Example	実施例
Related Vulnerability Management Systems	関連する脆弱性管理システム
CVSS	CVSS
EPSS	EPSS
VPR	VPR
CVSS spin offs	CVSSのスピンオフ
vPrioritizer	vPrioritizer
SSVC using Current Information Sources	現在の情報源を利用したSSVC
Potential Future Information Feeds	将来の情報提供の可能性
Future Work	今後の作業
Requirements Gathering via Sociological Research	社会学的研究による要求の収集
Types of Risks	リスクの種類
Further Decision Tree Testing	デシジョンツリーの検証
Limitations	制限事項
Conclusion	結論
Acknowledgements	謝辞
References	参考文献

 

---

参考

最初のバージョンについての発表

・2019.12 Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization

 

CERTCC

・[Github] CERTCC/SSVC: Stakeholder-Specific Vulnerability Categorization

 

Firstで発表されたCERTCCの方のプレゼンテーションはCVSSとの比較でわかりやすいかもしれません。。。

・2020 [PDF] SSVC: Stakeholder-Specific Vulnerability Categorization