SSVCにおける Human Impact 決定方法例 | Vuls Blog
概要SSVC で Deployer Tree を使う際に、HUMAN IMPACT の設定に戸惑うことが多いと思います。SSVC の定義上でも、複雑なので詳細が避けられているように見えます。 また、実運用上でも「脆弱性ひとつずつ」HUMAN IMPACT を定義することは難しく(脆弱性毎に定義をすることになる)、何らかの標準化が必要となります。 本記事では、SSVC の定義上での HUMAN IMPACT について確認し、実運用上のHUMAN IMPACTの定義で利用できそうなフレームワークをご紹介します。 Exective summary本来的に HumanImpact は、Situated Safety Impact と Mission Impact をもとに考えるのが良いと思われています。 しかしながら現時点の SSVC の考え方では、実装の簡素化のため、Mission Impact
