~資産の重要度を加味した、ビジネスリスクに基づく脆弱性対応の優先順位付けを実現~
株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森 厚志)が運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下「yamory」)は、「SSVC(Stakeholder-Specific Vulnerability Categorization)」に対応し、オートトリアージ機能をアップデートしたことをお知らせいたします。
本アップデートでは、従来の「CVSS深刻度」「攻撃コードの有無」「公開サービスか否か」といった評価指標に加え、新たに「資産の重要度(Mission Impact)」を評価指標に追加しました。システムごとの事業影響度を考慮することで、ビジネス環境に即した本質的な優先順位付けが可能になります。
 
■ 背景
サイバー攻撃の高度化に伴い、日々発見される脆弱性の数は増大の一途をたどっています。多くの企業では、脆弱性の深刻度を示す指標「CVSS」に基づき対応判断を行っていますが、すべての高深刻度な脆弱性に対応することは、限られたリソースの中では困難です。
これまでyamoryでは、脆弱性の深刻度や攻撃コードの流通状況、インターネット公開の有無などを複合的に分析するオートトリアージ機能を提供し、脆弱性対応の優先順位付けを支援してきました。しかし、企業がより合理的にリソースを配分するためには、そのシステムが止まった際の事業へのダメージ(=資産の重要度)というビジネス視点の評価が不可欠でした。
■ アップデート概要
今回のアップデートでは、米CISAとカーネギーメロン大学が共同開発した、組織の状況に合わせて脆弱性対応の優先順位を決定するフレームワーク「SSVC」の考え方を取り入れました。
※SSVCとは:https://yamory.io/blog/about-ssvc
 
その資産(システム、サーバー、アプリケーション等)が停止、または情報漏えいした際に、事業に与える影響を「高・中・低」で登録し、評価指標の一つとします。例えば、同じ深刻度の脆弱性であっても、「顧客の個人情報を扱う基幹システム」と「限定的な用途の内部ツール」では事業に与える影響レベルが異なるため、yamoryが提示する対応優先順位も自動で最適化されます。
 
本アップデートにより、専門的な知見が必要だったSSVCに基づく高度なトリアージを自動化し、運用の負荷を大幅に軽減します。専門人材が不足する組織でも、事業影響度に基づいた脆弱性対応の優先順位付けを迅速に行える環境を提供し、企業の効率的かつ網羅的なセキュリティ対策を支援してまいります。
 
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。クラウドからオンプレまでの脆弱性管理と、ソフトウェアのSBOM対応をオールインワンで実現します。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。
URL:https://yamory.io/
X:https://twitter.com/yamory_sec
 
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:https://assured.inc
 
 【Visionalについて】 
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/