ssvc

React2Shell(CVE-2025-55182)の技術的背景とFutureVulsによる実効的な対策

React2Shell(CVE-2025-55182)の技術的背景とFutureVulsによる実効的な対策

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例(利用されたCVE-IDを含む)やFutureVulsを用いた具体的対策を紹介します。
Solving CISO Headaches: CTIとリスク管理をどう連携させるか?

Solving CISO Headaches: CTIとリスク管理をどう連携させるか?

CTI(脅威インテリジェンス)を導入しているのに、経営層への説得力がいまひとつ…」 「リスク管理と現場のセキュリティ対策が噛み合わず、脆弱性対応が後手に回ってしまう…」 そんなお悩みを抱えるCISOやセキュリティ担当者に向け、本記事ではCTIとサイバーリスク管理の連携ノウハウを解説します。脆弱性優先度付け、ランサムウェア対策、サプライチェーンリスクなど、具体的な事例を交えながら、経営層を納得させるリスク評価と最適な防御策を同時に実現する方法をご紹介します。
SSVCを使いこなそう 〜CISA × CERT/CCが提案する効率的な優先度付けフレームワーク〜

SSVCを使いこなそう 〜CISA × CERT/CCが提案する効率的な優先度付けフレームワーク〜

「CVSSスコアはHigh。でも本当に自社にとって“最優先”なのでしょうか?」 日々発表される膨大な脆弱性のなかで、企業が限られたリソースを最大限に活用し、的確に対処するためには、“誰がどんな視点で”評価するかが重要になります。そこで注目されているのが **SSVC (Stakeholder-Specific Vulnerability Categorization)**。アメリカの政府機関 CISA と CERT/CC が共同で開発し、すでに2020年から運用実績を蓄積しているフレームワークです。 本記事では、継続的な脆弱性管理SaaS「[FutureVuls](https://vuls.biz)」の視点を交えつつ、YouTubeの公式トレーニング動画を参考にSSVCを詳しく解説します。組織内の役割やリスク許容度に合わせた優先度付けを知りたい方は、ぜひ最後までご覧ください!
SSVC v2.1徹底解説:脆弱性対応フレームワークの変更点と進化

SSVC v2.1徹底解説:脆弱性対応フレームワークの変更点と進化

脆弱性対応の優先度を決定するフレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)」の最新版であるv2.1が2023年7月にリリースされました。このバージョンでは、判断基準がシンプル化されるとともに、リスク評価の精度が向上しています。FutureVulsもv2.1に対応し、設定の簡便化と運用効率の向上を実現しました。本記事では、v2.1の主な変更点と、それが組織のリスク評価やFutureVulsの運用にどのような影響を与えるかを詳しく解説します。
OSS脆弱性管理の課題と解決策|スライド・全文ログ付き解説 | SSVC,KEV,EPSS,VEXを用いた最新のリスク評価法(CSS2024招待講演)

OSS脆弱性管理の課題と解決策|スライド・全文ログ付き解説 | SSVC,KEV,EPSS,VEXを用いた最新のリスク評価法(CSS2024招待講演)

CSS2024(コンピュータセキュリティシンポジウム2024)にてFutureVulsが招待講演を行いました。本セッションでは、OSS脆弱性スキャナVulsを通じて見えてきた脆弱性管理の課題と解決策、VEXやReachabilityを用いたノイズ削除手法、SSVCやKEV,EPSSなどを活用した最新のリスク評価手法について解説しました。スライドと全文ログも公開していますので、ぜひご覧ください。
Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

Vulsまつり#10 | 「残業?来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

Vulsまつり#10では、脆弱性管理の最新技術をテーマに、多くの参加者が集まりました。その中でも注目を集めたのが、SSVC(Stakeholder-Specific Vulnerability Categorization)を使ったデモです。この記事では、そのデモをもとに、金曜日の午後にも効率的に脆弱性対応判断を行うための方法をご紹介します。
SSVC DeepDive | 「ジョーシストーーク 脆弱性祭り~脆弱性の全体像と付き合い方~」

SSVC DeepDive | 「ジョーシストーーク 脆弱性祭り~脆弱性の全体像と付き合い方~」

2024年7月8日に開催された「ジョーシストーーク 脆弱性祭り~脆弱性の全体像と付き合い方~」のセッション「SSVC DeepDive」の内容です。https://cloudnative.co.jp/event/josystalk202406パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。
SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法

SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法

米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC(Stakeholder-Specific Vulnerability Categorization)の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各Decision Pointを分解し、最近CISAから公開されたNVDを補完する脆弱性情報「Vulnrichment」などのデータソースとロジックを共有し、自動化のための現実的な実装方法を模索します。
インターネット露出サーバの自動特定とSSVC Exposure設定ガイド

インターネット露出サーバの自動特定とSSVC Exposure設定ガイド

脆弱性管理は企業のセキュリティ対策において重要な課題です。本記事では、効果的な脆弱性管理を実現するためのSSVC(Stakeholder-Specific Vulnerability Categorization)のExposure設定方法について解説します。FutureVulsを用いた実践的なアプローチやAmazon Inspectorを活用した自動調査手法も紹介します。
SSVCにおける Human Impact 決定方法例

SSVCにおける Human Impact 決定方法例

SSVC の DeployerTree における Human Impact について、SSVC ではどのように考えているのか、実際の運用ではどうするのが良いのか、をまとめました。
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC

CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC

KEV CatalogやEPSSはどう活用するのが良いかという点で、うまく活用しているプロジェクトがあったのでご紹介します。SSVCとの違いも考察します。
バーチャル情シス「須藤あどみん」のYoutubeに出演し、脆弱性管理全般やSSVCの解説などをしました

バーチャル情シス「須藤あどみん」のYoutubeに出演し、脆弱性管理全般やSSVCの解説などをしました

バーチャル情シス「須藤あどみん」にFutureVulsが登場!脆弱性管理の現状の課題からCVSSの課題を解決するSSVCの解説。FutureVulsのSSVC機能や実際の運用を想定した運用者・CSIRT目線のデモを行いました
Prev
1
Next

カテゴリー