脆弱性管理のパラダイムシフト ～CVSSからSSVCへ、スコアではなく「次の一手」を決める実践的アプローチ～

年間４万件以上が新規に公開され、検知ツールが日々報告する大量の脆弱性。ランサムウェア攻撃でも既知の脆弱性が悪用される中、その優先順位付けは喫緊の課題です。CVSSスコアでは運用が回らない。この課題に対し、CISAも推奨するSSVCは、体系的な決定木によりリスクベースでの客観的な優先度評価が可能です。 本セッションでは、SSVCの実践的な活用法を徹底解説。KEVやEPSS等のデータソース活用、最新の脅威情報を踏まえた具体的なトリアージ判断プロセスをデモします。 さらに、OSS利用におけるサプライチェーンリスク管理の観点にも触れ、効果的な脆弱性管理のための実践的な知見を提供します。