SSVCに対応し オートトリアージ機能をアップデート

「SSVC（Stakeholder-Specific Vulnerability Categorization）」に対応し、オートトリアージ機能をアップデートしたことをお知らせいたします。

本アップデートでは、従来の「CVSS深刻度」「攻撃コードの有無」「公開サービスか否か」といった評価指標に加え、新たに「資産の重要度（Mission Impact）」を評価指標に追加しました。システムごとの事業影響度を考慮することで、ビジネス環境に即した本質的な優先順位付けが可能になります。

■ 背景
サイバー攻撃の高度化に伴い、日々発見される脆弱性の数は増大の一途をたどっています。多くの企業では、脆弱性の深刻度を示す指標「CVSS」に基づき対応判断を行っていますが、すべての高深刻度な脆弱性に対応することは、限られたリソースの中では困難です。

これまでyamoryでは、脆弱性の深刻度や攻撃コードの流通状況、インターネット公開の有無などを複合的に分析するオートトリアージ機能を提供し、脆弱性対応の優先順位付けを支援してきました。しかし、企業がより合理的にリソースを配分するためには、そのシステムが止まった際の事業へのダメージ（＝資産の重要度）というビジネス視点の評価が不可欠でした。

■ アップデート概要
今回のアップデートでは、米CISAとカーネギーメロン大学が共同開発した、組織の状況に合わせて脆弱性対応の優先順位を決定するフレームワーク「SSVC」の考え方を取り入れました。
※SSVCとは：https://yamory.io/blog/about-ssvc

その資産（システム、サーバー、アプリケーション等）が停止、または情報漏えいした際に、事業に与える影響を「高・中・低」で登録し、評価指標の一つとします。例えば、同じ深刻度の脆弱性であっても、「顧客の個人情報を扱う基幹システム」と「限定的な用途の内部ツール」では事業に与える影響レベルが異なるため、yamoryが提示する対応優先順位も自動で最適化されます。

本アップデートにより、専門的な知見が必要だったSSVCに基づく高度なトリアージを自動化し、運用の負荷を大幅に軽減します。専門人材が不足する組織でも、事業影響度に基づいた脆弱性対応の優先順位付けを迅速に行える環境を提供し、企業の効率的かつ網羅的なセキュリティ対策を支援してまいります。