本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2022/11/11 SecurityWeek — 11月10日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性パッチの優先順位を付ける組織が、ディシジョン・ツリー・モデルを用いる際に役立つ SSVC (Stakeholder-Specific Vulnerability Categorization) ガイドを公開した。SSVC システムは、CISA とカーネギーメロン大学の Software Engineering Institute (SEI) が 2019年に作成したものだ。翌年である 2022年に CISA は、政府機関や重要インフラ組織に関連するセキュリティ欠陥に対して、独自にカスタマイズした SSVC デジション・ツリーを作成している。
そして、いまの CISA は、あらゆる規模の組織に対して、CISA 版の SSVC を用いて脆弱性を管理するよう働きかけている。この SSVC により、企業が脆弱性対応の優先順位を決定する際に有益な、カスタマイズされたディシジョン・ツリー・モデルが提供される。
CISA の SSVC は、それぞれの脆弱性を、下記の4つのカテゴリのいずれかに分類することを支援する:
Track – 現時点では対処の必要はないが、標準的な更新スケジュールでパッチ適用する必要がある。
Track* – 変化をより詳細に監視する必要があり、標準的な更新スケジュールでパッチ適用する必要がある。
Attend – 社内のスーパーバイザーの注意を必要とし、標準的な更新スケジュールよりも素早く対処する必要がある。
Act – スーパーバイザーやリーダーレベルの注意を必要とし、可能な限り迅速に対処する必要がある。
SSVC ツリーは、脆弱性の悪用状況/技術的影響/自動化の可否/ミッション・クリティカル機能への影響/システム侵害による人体への影響などに基づき、ユーザーによる意思決定が可能になるよう支援する。
・・・
|
|
|
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today