攻撃スピードに追従するために、(1)脅威などの攻撃元情報だけではなく、脆弱性などの攻撃先情報を活用すると共に、(2)これら情報を資産と紐付けて活用する。
攻撃状況やシステムの重要度を加味した脆弱性の深刻度を表す
md-cvss-rubric-tools (md-cvss-rubric-calc.xlsm)
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開している悪用が観測された既知の脆弱性の一覧
脆弱性関連情報と脆弱性悪用の試みに関連するデータを用いて、機械学習を行い、その結果から今後30日間における悪用可能性を予測
判断分岐点が設定された決定木を辿ることで、取るべき脆弱性対応の優先度を提示
Deployer (修正プログラム利用側) 向け決定木
Supplier (修正プログラム提供側) 向け決定木
CISA Coordinator (米国政府、州、地方、部族、準州政府、および重要なインフラストラクチャ事業体) 向け決定木
情報システムを構成するハードウェア、ソフトウェアの名称を、プログラムで(機械)処理しやすい形式で記述するための仕様
「脆弱性対策情報の動向と効果的な収集に向けて」セミナー(2023年3月27日)
「脆弱性対策情報の動向と効果的な収集に向けて」セミナー(2022年3月24日)
「脆弱性対策情報の動向と効果的な収集に向けて」セミナー(2021年3月23日)
「脆弱性対策情報の動向と効果的な収集に向けて」セミナー(2020年2月19日)
サイバーセキュリティ対策のキーワード
サプライチェーンで開発されるアプリケーションのリスクと管理
ITAM World 2019 (2019年6月7日)
ITAM World 2018 (2018年6月8日)
Last modified:
First Published: 2022/11/05 11:30:00