CISAは組織の脆弱性管理プロセスを強化するために、CVEに新たなる情報を追加することを発表しました。
このプロジェクトは、Vulnrichmentと名付けられています。
Vulnrichment はSSVC評価基準を導入し、脆弱性を4つのカテゴリに分けて脆弱性の対応緊急性を評価します。
現在の脆弱性評価の主流はCVSSですが、SSVCが追加されるのはかなり嬉しいニュースです。
CVSSには以下の課題があります。
・脆弱性の対応方針が加味されていない
・その脆弱性が存在するシステム内の環境を考慮されていない
CVSSの脆弱性評価には、脆弱性単体の深刻度は理解しやすいメリットがありますが、その脆弱性の対応優先度は結局社内で議論するほかありません。
それに比べSSVCの最終的な評価は以下に分類されます。
| Defer | 現時点では対応しません。 |
| Scheduled | 定期的なメンテナンス内で対応します。 |
| Out-of-cycle | 緩和策または修正策を適用するために通常より迅速に対応します。 |
| Immediate | 利用可能なすべてのリソースを活用し、可能な限り迅速に修正策を適用します。必要であれば、通常業務の一時停止を行います。 |
そのため、SSVCの評価がそのまま対応優先度となりセキュリティ担当者は脆弱性管理の効率が上がることが予想されます。
