セキュリティとプライバシー
3 分で読める
コンプライアンス管理ツールがコミュニケーション環境への対応に役立つ 3 つの方法
Zoom Compliance Manager のようなコンプライアンス管理ツールは、厄介なコミュニケーション環境への対応に役立ちます。その仕組みをご覧ください。
革新的な脆弱性影響評価アプローチ、VISS を発表
5 分で読める
更新日 December 14, 2023
公開日 December 14, 2023
本ブログの内容
- 01 VISS の概要: 防御者の視点 - Jumplink to VISS の概要: 防御者の視点
- 02 VISS が重要な役割を果たす理由 - Jumplink to VISS が重要な役割を果たす理由
- 03 VISS の分析機能 - Jumplink to VISS の分析機能
- 04 VISS の実例: HackerOne におけるケーススタディ - Jumplink to VISS の実例: HackerOne におけるケーススタディ
- 05 ターゲットは重大度レベルの高い脆弱性 - Jumplink to ターゲットは重大度レベルの高い脆弱性
- 06 世界中のセキュリティ チームをサポート - Jumplink to 世界中のセキュリティ チームをサポート
この投稿を共有
Roy Davis
セキュリティ マネージャー
このたび、脆弱性評価とインシデント対応における環境の再構築を目的とした革新的なオープンソース プロジェクト、脆弱性影響評価システム(VISS)の一般提供を皆様に発表できることを大変嬉しく思います。昨年開発された本プロジェクトは、脆弱性評価への画期的なアプローチを通じ、より安全なデジタル環境を実現するセキュリティ対策の強化を目的としています。VISS にはユーザーを念頭に置いたウェブベース UI と高度なアルゴリズムが実装され、セキュリティに与える理論上の潜在的な影響よりも実証された影響を優先的に検出します。
従来型評価システム(共通脆弱性評価システム(CVSS)など)は、攻撃者の視点と最悪のシナリオにフォーカスしていますが、VISS は別の視点から機能します。VISS はインシデント対応機能を強化する独自の評価システムにより CVSS を補完しています。また、防御者の視点から脆弱性の影響を客観的に測定することで、理論上の脅威ではなく、実証された影響に沿って評価を行うことができます。
2023 年 3 月以降、Zoom はこの革新的な評価システムを導入して、脆弱性報奨金制度における報奨金のお支払いについて評価を行ってきました。本制度には、セキュリティ リサーチャーやプロダクト ユーザーが法的措置について懸念することなく、セキュリティの脆弱性を検出して Zoom に開示するための安全な体制が整っています。多くのケースで仲介手数料(報奨金に分類)が織り込まれる本イニシアティブでは、送信レポートの内容に顕著な変化が見られ、以前のレポート内容から大きな進化を遂げました。
弊社は、このような影響力の高い調査レポートや、きめ細かなマルチステップによる脆弱性検出という際立ったトレンドは、リサーチャーが潜在的な脆弱性のニュアンスを深く掘り下げるために多くの時間を費やしてくださっている成果と考えております。
VISS では、明らかな影響が出るとは考えにくい脆弱性に貴重なリソースを集中させるのではなく、環境を事前に保護し、組織に影響を与える可能性がもっとも高い脆弱性を優先して検出できます。過去 1 年間に多くの企業が人員を削減したため、この優先順位付け機能は、最大の成果を得るために時間と労力をどこに集中させるべきかを把握するうえで非常に重要です。
VISS は、プラットフォーム、インフラストラクチャ、データの各グループに分類された 13 項目の影響側面に沿って脆弱性を分析します。数値スコア結果(範囲: 0~100)は、特定の環境下における影響の重大度を示しています。VISS スコアは補完統制指標を使用することで調整でき、環境のオーナーは堅牢な管理ポータルを通じて、個々のリスク プロファイルと許容度に応じ、スコアをカスタムする柔軟な機能を活用できます。
本システムの仕様を詳しく確認し、Zoom が導入した VISS 計算ツールをお試しいただくには、VISS の仕様(完全版)をご覧ください。
Zoom は、2023 年にロンドンで開催されたライブ ハッキング イベント「HackerOne H1-4420」のスポンサーとして活動しました。本イベントでは、ハッカーの脆弱性レポートの送信に CVSS と VISS を使用した高度な脆弱性評価プロセスが実施されました。このプロセスにより VISS の有効性が実証され、リソース割り当ての改善が促進されるとともに、「危険」「高」と評価される脆弱性の重大度レベルに集中して対処できるようになりました。
VISS への移行後、送信された脆弱性レポートにおける重大度が「低」「中」から「高」「危険」にシフトしました。リサーチャーは、理論だけでなく脆弱性が持つ実際の影響を注視し、多くの時間とエネルギーをかけて脆弱性の検出方法を進化させています。Zoom では、2023 年 3 月~12 月 1 日の期間に重大度レベル「危険」と評価されたレポートが 28%、「高」と評価されたレポートが 12% 増加したことを確認しています。特に、2023 年 3 月を基準に VISS 導入前の過去 8 か月間と比較した場合、重大度が中程度のレポート送信が 57% も減少しました。
VISS のミッションは Zoom の枠を超え、インシデント対応チームやセキュリティ チームのグローバルな強化をサポートすることにあります。VISS は、業界で脆弱性の影響の包括的かつ客観的な測定を実現することで、「あらゆるユーザーにとっての安全なインターネット」という目標の継続的な追求に貢献するシステムです。
ぜひ VISS についてご確認ください。VISS の発展および脆弱性影響評価に革命を起こすため、皆様のお力添えをお願いいたします。安全なデジタルの未来をともに築きましょう。https://github.com/zoom/viss から、こちらのオープンソース リポジトリをご確認ください。
ソースコードは GPL 3.0 ライセンスの対象となります。
こちらもおすすめ
関連リソース
