SSVC方法論とは？ 脆弱性管理手法の新潮流をCISAが解説

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2022年11月10日（現地時間）、脆弱（ぜいじゃく）性管理手法「SSVC方法論」（Stakeholder-Specific Vulnerability Categorization：利害関係者固有の脆弱性分類）に関するガイドラインを公開した。 SSVC方法論は、脆弱性を評価して悪用状況や安全性への影響、単一のシステムで影響を受ける製品の普及率などに基づき、復旧作業に優先順位を付ける管理手法だ。 近年、サイバー脅威が高度化・複雑化したことで「脅威を完全に防御することは困難」という前提に基づき、セキュリティ対策の行動指針を策定するケースが増えている。こうした行動指針の一つとして脆弱性に対する優先順位付けも重要になってきている。

[IGA-OS]

一種の脆弱性管理におけるトリアージみたいなものとも読める