「脆弱性対応意思決定支援システムの有効性検証報告書 日本語版」公開

JPCERT/CCのHPで「Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書 日本語版」が公開されています。

この報告書は、以下の通りのものです。

Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム、略称:VRDA、読み:ヴァーダ) は、組織が、脆弱性情報に関し、効率よく、一貫した対応ができるように支援すべく、JPCERT/CC と CERT/CC が共同でデザインした脆弱性対応コンセプトです。

VRDA コンセプトを適用することにより、脆弱性情報と対応履歴のデータベースを基に、新しい脆弱性に対して、その組織にとって最適である可能性が高い対応を導き出すことが可能となります。

本報告書は、VRDA コンセプトを実装したシステムである KENGINE (試行運用中) を用い、各組織において実施すべき脆弱性対応を、どの程度正しく提示することができるかについて、米 CERT/CC 含む 3つの異なる組織の協力を得て評価した結果をまとめたものです。

「意思決定支援システム」である、というところがポイントですね。
報告書の中には、このシステムのロジックの説明として数式がたくさん出ていますが、これがExcelのフォーマットなどファイルやツールで提供されると、もっとうれしかったりします・・・

コメント

VRDAは、自分がこれまで一番取り組んできた範囲の話題なので、興味を持って追っています。

VRDA(KENGINE)には、

システムに脆弱性が見つかったときに
・すぐに止めてパッチを当てるべきなのか？
・週末に臨時メンテで対応するくらいなのか？
・次の計画済みのメンテまで引き伸ばしてよいのか？

くらいを判断する(情報提供してくれる)ことを期待してます・・・。

評価に参加した組織が定義したタスクをみると、アラートをあげるまでの意思決定ツリーくらいしか実施してませんでした。結局、専門家や有識者の思考フローを意思決定支援システム化するので、その元の人/知識が無いと、有効なモデルを作れないんでしょうね。

思考フローをKENGINEに入力して、コンティジェンシープラン(案)の正当性をシミュレートして、評価できるカラクリが欲しくなりました。

投稿： Oh | 2009年11月 6日 (金) 13時27分

>Ohさん

私もこちらには注目と期待をしております。

「専門家や有識者の思考フローを意思決定支援システム化する」というのはかなり大変なんでしょうけど、この仕組みができ、このシステムの利用が進めば･･･、というところですね。

投稿： Hase | 2009年11月 7日 (土) 00時01分

PjhtzU http://dj83Ba0t9flLdxWkq4h9.biz

投稿： jordan | 2009年11月25日 (水) 17時20分