FutureVuls Blog

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

関西最大級セキュリティ勉強会『WEST-SEC』でFutureVulsが講演─SSVCで実現するリスクベース脆弱性管理とランサムウェア対策の最新事例を詳報

CTI（脅威インテリジェンス）を導入しているのに、経営層への説得力がいまひとつ…」 「リスク管理と現場のセキュリティ対策が噛み合わず、脆弱性対応が後手に回ってしまう…」 そんなお悩みを抱えるCISOやセキュリティ担当者に向け、本記事ではCTIとサイバーリスク管理の連携ノウハウを解説します。脆弱性優先度付け、ランサムウェア対策、サプライチェーンリスクなど、具体的な事例を交えながら、経営層を納得させるリスク評価と最適な防御策を同時に実現する方法をご紹介します。

脆弱性管理というと「スキャンしてパッチを当てる」作業ばかりに目がいきがちですが、実は組織全体でテクノロジーを「どのように運用・改善し続けるか」が成功のカギです。なぜアセット管理やCVSSスコアだけでは不十分なのか、どうすればレガシー環境や経営層・現場を巻き込んで抜本的にリスクを減らせるのか。本記事ではSANS Institute講師のウェブキャストをもとに、脆弱性管理に“組織改革”の視点を取り入れるポイントを解説していきます。

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

ソフトウェア・サプライチェーンへの攻撃が世界規模で深刻化する中、Googleが提唱する**SLSA（Supply-chain Levels for Software Artifacts）**が注目を集めています。本記事では、大規模インシデントを背景に、SLSAがどのようにビルド環境の改ざんや悪意ある依存関係の混入を防ぎ得るのかを解説。脅威モデルや各レベルの概要、Provenanceによる改ざん検知の仕組み、そして現状の課題と将来のL4（再現可能ビルド）の方向性を紹介します。企業でサプライチェーンセキュリティを強化したい方に向け、導入のポイントや運用上の注意点も整理しました。

米国DoDの調達事例をベースにしたサプライチェーンセキュリティの重要性を、日本国内の企業システムや製造業に置き換えて解説。SBOMの現状や脆弱性管理の実情、具体的な事例（F-35やOSSコミュニティなど）を掘り下げます。なお、日本固有の事情は筆者による補足であり、動画内で言及されていない部分も含みます。

脆弱性管理において「本当に攻撃されるリスクを可視化したい」——そんなニーズから生まれたのがEPSS (Exploit Prediction Scoring System) です。「CVSS のスコアは高いけれど、実際にどのくらい攻撃されやすいのか分からない」「優先度を付けたいけれど修正すべき脆弱性が多すぎる」——企業のセキュリティ担当者が日々抱えるこうした課題を解決する鍵として、近年注目を集めています。本記事では、EPSS の基本的な概要から、従来の CVSS との違い、データパートナーの役割、機械学習モデルの仕組み、さらに具体的な導入上の注意点まで、これまでにないほど詳しく解説します。攻撃の「深刻度」だけでなく「実際に攻撃される確率」を加味することで、限られたセキュリティリソースを最大限に活かす新しい脆弱性管理のアプローチを一緒に見ていきましょう。

「CVSSスコアはHigh。でも本当に自社にとって“最優先”なのでしょうか？」 日々発表される膨大な脆弱性のなかで、企業が限られたリソースを最大限に活用し、的確に対処するためには、“誰がどんな視点で”評価するかが重要になります。そこで注目されているのが **SSVC (Stakeholder-Specific Vulnerability Categorization)**。アメリカの政府機関 CISA と CERT/CC が共同で開発し、すでに2020年から運用実績を蓄積しているフレームワークです。 本記事では、継続的な脆弱性管理SaaS「[FutureVuls](https://vuls.biz)」の視点を交えつつ、YouTubeの公式トレーニング動画を参考にSSVCを詳しく解説します。組織内の役割やリスク許容度に合わせた優先度付けを知りたい方は、ぜひ最後までご覧ください！

大規模インシデントの最前線では、何が起きているのか――。年々巧妙化するサイバー攻撃やランサムウェアの実態を、【前編】では実際の事例とともに解説します。CODEBLUE 2024のセッションで注目を集めた、攻撃者の侵入手口や初動対応の“リアルな現場”を知ることで、企業や組織が取るべき効果的な対策が見えてきます。後編とあわせて、最新の脆弱性管理や防御策を学ぶきっかけにぜひお役立てください。

SBOM（Software Bill of Materials）はソフトウェアのセキュリティやコンプライアンス管理において重要な役割を果たしますが、エンドユーザー視点ではまだ多くの課題が存在します。本記事では、SBOMの最新動向と課題解決に向けたアプローチ、そしてFutureVulsが提供する実用的なソリューションについて解説します。

ソフトウェア開発を効率化するうえで欠かせない CI/CD パイプラインですが、実は コマンドインジェクション や カスタムアクションを介したサプライチェーン攻撃 など、見過ごされがちなセキュリティリスクをはらんでいることをご存じでしょうか。特に GitHub Actions のように世界中で広く利用されているプラットフォームは攻撃者の標的になりやすく、万が一侵害されれば GitHub Token を通じてリポジトリ全体を乗っ取られる危険性もあります。本記事では、CI/CD に潜む脆弱性と対策のポイントをやさしく解説します。

CSS2024（コンピュータセキュリティシンポジウム2024）にてFutureVulsが招待講演を行いました。本セッションでは、OSS脆弱性スキャナVulsを通じて見えてきた脆弱性管理の課題と解決策、VEXやReachabilityを用いたノイズ削除手法、SSVCやKEV,EPSSなどを活用した最新のリスク評価手法について解説しました。スライドと全文ログも公開していますので、ぜひご覧ください。

Vulsまつり#10では、脆弱性管理の最新技術をテーマに、多くの参加者が集まりました。その中でも注目を集めたのが、SSVC（Stakeholder-Specific Vulnerability Categorization）を使ったデモです。この記事では、そのデモをもとに、金曜日の午後にも効率的に脆弱性対応判断を行うための方法をご紹介します。

2024年7月8日に開催された「ジョーシストーーク 脆弱性祭り～脆弱性の全体像と付き合い方～」のセッション「SSVC DeepDive」の内容です。https://cloudnative.co.jp/event/josystalk202406パッチの適用順序は、CVSSの高い脆弱性から。これでは実際の運用は回せません。SSVCは、攻撃者目線を取り入れた脆弱性評価フレームワークで、米国政府でも採用されています。本セッションでは、SSVCを活用することで、どのように脆弱性管理が改善されるのかを徹底解説します。CVSSだけでは不十分な方に必見の内容です。

米国CISAが推奨する脆弱性管理の優先順位付け手法であるSSVC（Stakeholder-Specific Vulnerability Categorization）の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは脆弱性をリスクベースで優先度付けするフレームワークですが、そのまま組織に適用すると人的工数と専門知識が必要です。講演者はSSVCの導入には自動化が肝要であると考え、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各Decision Pointを分解し、最近CISAから公開されたNVDを補完する脆弱性情報「Vulnrichment」などのデータソースとロジックを共有し、自動化のための現実的な実装方法を模索します。

脆弱性管理は企業のセキュリティ対策において重要な課題です。本記事では、効果的な脆弱性管理を実現するためのSSVC（Stakeholder-Specific Vulnerability Categorization）のExposure設定方法について解説します。FutureVulsを用いた実践的なアプローチやAmazon Inspectorを活用した自動調査手法も紹介します。

FutureVulsは、2024/3/8, 9に開催されたサイバーセキュリティシンポジウム道後のスポンサーとして、最先端の脆弱性管理ソリューションと革新的なSSVCトリアージ機能を紹介。企業プレゼン、展示ブースの体験、およびセキュリティ業界への貢献を詳述します。

DevOpsの進化として、コンテナとCI/CDの融合、セキュリティ統合のDevSecOpsへの移行、FutureVulsとTrivyの連携を掘り下げました。

サプライチェーンを狙ったサイバー攻撃が増加している昨今、IT管理者や情シス担当者にとってサプライチェーンセキュリティは避けて通れない課題です。そこで注目を集めているのが、**Acquisition Security Framework（ASF）** という考え方。本記事では、ASFの概要や利点を紹介しながら、NISTなど公的機関の文献を引用しつつポイントを整理します。

システムの可用性を維持しながら、常に新たな脆弱性が発見されるIT環境を守るためには、適切な「パッチ管理(Patch Management)」が欠かせません。しかし、実際には再起動のリスクや業務停止への懸念、資産の可視化不足など、多くの企業が頭を悩ませているのも事実です。本記事では、パッチ管理の基本から具体的な手法、さらに脆弱性管理プラットフォーム「FutureVuls」を活用した効率的な対策までを徹底解説します。企業システムを安全かつ安定的に運用したい方は、ぜひ最後までご覧ください。