開発背景
クラウド環境やオンプレミス環境を横断した脆弱性管理では、単に脆弱性を一覧表示するだけでなく、「なぜ優先度が変わったのか」「いつ状態が変化したのか」といった経緯を把握したいというニーズが高まっています。特にSSVCのようなリスクベースの優先度判定では、脆弱性の悪用状況や公開状況、攻撃の自動化可能性など、外部要因によって判定が変化することがあります。このような運用実態や変化の経緯を正確に把握することは、持続可能なセキュリティ体制の構築に不可欠であると考え、今回のアップデートが実施されました。
アップデート内容
今回のアップデートでは、脆弱性タイムラインの「イベント」および「すべて」タブで、以下の情報が確認できるようになりました。
-
ステータスの変更(未解決 / 解決済み / リソース削除)
-
SSVC判定に使用される決定木の変化
-
悪用事例
-
リソースの公開状況
-
攻撃の自動化可能性
-
SSVC判定結果の変更
これにより、脆弱性の優先度が変化した背景や、どのようなイベントを経て現在の状態に至ったのかを、時系列で確認できます。
SSVCとは
SSVC(Stakeholder-Specific Vulnerability Categorization)は、米カーネギーメロン大学ソフトウェア工学研究所によって提案された脆弱性の対応優先度を判定するフレームワークです。これはCVSSベーススコアのような脆弱性そのものの評価ではなく、脆弱性の悪用状況、攻撃のしやすさ、検出されたリソースの公開状況や重要度といったさまざまな要素を元に、脆弱性の対応優先度を判定します。
期待される効果
今回のアップデートにより、セキュリティ担当者は脆弱性の状態変化や優先度変動の背景をより正確に把握できるようになります。これにより、以下のような実践的な脆弱性管理運用が支援されます。
-
リスク対応の優先度が変化したタイミングの把握
-
インシデント対応や監査時の経緯確認
-
リスク評価プロセスの継続的な改善
-
運用チーム間での判断根拠共有
Cloudbaseは今後も、クラウド・オンプレミスを横断した統合的なリスク管理を支援し、ユーザーの継続的なセキュリティ運用改善に貢献していく方針です。
各社の商標帰属表示については、こちらをご参照ください。
Cloudbase株式会社について
Cloudbase株式会社は、エンジニアとしてのバックグラウンドを持つ代表岩佐晃也氏が2019年に創業したスタートアップ企業です。AWS、Microsoft Azure、Google Cloud、Oracle Cloudといったマルチクラウド環境におけるリスクを統合的に監視・管理できるセキュリティプラットフォーム「Cloudbase」を提供しています。クラウド環境だけでなくオンプレミス環境も含め、企業のインフラ資産全体を横断的に可視化し、セキュリティリスクの継続的な管理を支援しています。
会社概要
-
社名:Cloudbase株式会社
-
代表取締役CEO:岩佐晃也
-
事業内容:クラウドセキュリティプラットフォーム「Cloudbase」の開発
-
本社所在地:東京都港区三田3-2-8 THE PORTAL MITA 2F
-
設立: 2019年11月
コメント