DAY1 12.18 THU

• 

  株式会社ラック

  次世代セキュリティ技術研究所
  ナショナルセキュリティ研究所

  井上 圭氏

• 

  櫻井 秀憲氏

『脆弱性管理の過去と現在 ：CVSSからRBVMへの進化と次のステップ』
脆弱性管理は30年で大きく変化しました。
1990年代はCVE創設やCERT通報に依拠し、2005年CVSS v1、2007年v2登場で標準化が進展。だが2017年にCVE件数が倍増し、Base Scoreのみでは対応困難に。
以降、KEV（2021）、EPSS（2021～）、SSVC（2019/21）などが登場し、RBVMが広がりました。
本講演ではこの流れを整理し、今後の展望を考えます。

『NVD遅延時代の脆弱性情報源：JVN・EUVDを含むマルチソース戦略』
NVDは近年更新遅延が顕在化し、世界の脆弱性基盤の不安定さが露呈しました。
これを受け、EUVDやJVNといった補完情報源への注目が高まっています。
EUVDはNIS2に基づき自動化に強みを持つ一方、検索制約があり、JVNは国内製品や未採番脆弱性を補完します。
本講演ではNVD・EUVD・JVNの特徴と限界を整理し、マルチソース型の現実的戦略を提案します。

『脆弱性管理指標の再確認：SCAPの枠組みからLEVまで』
CVE、CPE、CVSSなど脆弱性指標は広く使われていますが、成立背景や管理団体、相互関係を体系的に理解する人は少数です。
本講演ではSCAPの枠組みに沿って主要指標を整理し、CVE Foundation設立の経緯や運営体制の変化も紹介します。
さらにEPSS、KEV、SSVCなど近年の指標を含め全体像を示し、実務での活用を見直す視点を提供します。

『中小企業のための段階的脆弱性管理の検討』
中小企業における脆弱性管理は、限られた人員と予算の中で実行可能な手順を提示することが不可欠です。
本発表では、ISOG-J WG6 脆弱性管理推進チーム内における議論を共有します。
IPAの情報セキュリティ5箇条を前提に、段階的に脆弱性管理を進めていくアプローチを提案します。