| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
PSIRT向け脆弱性スクリーニング技術と環境毎リスク評価技術 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Technologies of vulnerability screening and environment evaluation for PSIRT |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
PSIRT,脆弱性,リスク評価,CVSS |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
東芝 |
| 著者所属 |
|
|
|
東芝 |
| 著者所属 |
|
|
|
東芝 |
| 著者所属 |
|
|
|
東芝 |
| 著者所属 |
|
|
|
フューチャー |
| 著者所属 |
|
|
|
フューチャー |
| 著者所属 |
|
|
|
フューチャー |
| 著者所属 |
|
|
|
フューチャー |
| 著者所属 |
|
|
|
フューチャー |
| 著者所属(英) |
|
|
|
en |
|
|
Toshiba |
| 著者所属(英) |
|
|
|
en |
|
|
Toshiba |
| 著者所属(英) |
|
|
|
en |
|
|
Toshiba |
| 著者所属(英) |
|
|
|
en |
|
|
Toshiba |
| 著者所属(英) |
|
|
|
en |
|
|
Future |
| 著者所属(英) |
|
|
|
en |
|
|
Future |
| 著者所属(英) |
|
|
|
en |
|
|
Future |
| 著者所属(英) |
|
|
|
en |
|
|
Future |
| 著者所属(英) |
|
|
|
en |
|
|
Future |
| 著者名 |
金井, 遵
上原, 龍也
小池, 竜一
鬼頭, 利之
神戸, 康多
木戸, 俊輔
篠原, 俊一
中岡, 典弘
林, 優二郎
|
| 著者名(英) |
Jun, Kanai
Tatsuya, Uehara
Ryuiti, Koike
Toshiyuki, Kito
Kota, Kanbe
Shunsuke, Kido
Shunichi, Shinohara
Norihiro, Nakaoka
Yujiro, Hayashi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
PSIRTにおける脆弱性ハンドリングは製品ごとに行う必要があり,取り扱う製品数の多いベンダほど負荷が大きく,自動化によって効率化することが求められる.ところが従来のCVSS基本値を用いたリスク評価技術ではリスク判定の精度が低く,セキュリティ専門家によるリスク判断に大きなコストを要する.そこでSBOMと脆弱性情報のマッチング結果を元に,さらにソフトウェアの設定を考慮して脆弱性が実際の製品で発現するかどうかを判定するスクリーニング技術と,製品に導入されたセキュリティ対策の情報に基づいてリスク評価の高精度化を行う技術を開発した.製品環境を想定したシステムにおいてFutureVulsを利用して脆弱性を抽出した上で,提案技術による脆弱性ハンドリングのコストを評価した.その結果,優先して見るべき脆弱性数を従来より最大で100%,最低でも79%削減でき,脆弱性ハンドリング全体の工数も最大94%削減できることが確認できた. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Vulnerability handling by PSIRT should be performed for each product. Because the cost of the handling is unacceptable for vendors that develop a large number of products, it is necessary to improve handling efficiency by automation. However, existing risk assessment techniques using CVSS basic score have insufficient accuracy for determining risks and require large costs for security experts. We proposed a screening technology based on software configurations due to solving these problems. The technology can determine whether vulnerabilities will appear in the products. In order to improve the accuracy of risk assessment, we also have developed an environmental risk analysis technology which consider security measures introduced in the product. Proposed methods have been implemented with FutureVuls to evaluate its effectiveness in a virtual OT system which simulate a product environment. As a result, we confirmed that the number of vulnerabilities that should be prioritized can be reduced by up to 100% and at least 79% compared to existing methods, and the overall man-hours for vulnerability handling can be reduced by up to 94%. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1218-1225,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024163.pdf (1.6 MB)
