国産CNAPP「Cloudbase」、脆弱性管理画面のタイムライン機能をアップデート

Cloudbase株式会社（本社：東京都港区、代表取締役CEO：岩佐晃也）は、同社が提供する国産CNAPP（CSPM、SBOM、脆弱性管理）「Cloudbase」において、脆弱性管理画面のタイムライン機能をアップデートし、新たなイベント情報を確認できるようになったことをお知らせします。

今回のアップデートにより、判定がどのような経緯で変化したのかを追跡しやすくなり、より継続的かつ実運用に即した脆弱性管理を支援します。

### 開発背景
クラウド環境やオンプレミス環境を横断した脆弱性管理では、単に脆弱性を一覧化するだけでなく、「なぜ優先度が変わったのか」「いつ状態が変化したのか」といった経緯を把握したいというニーズが高まっています。

特にSSVCのようなリスクベースの優先度判定では、脆弱性の悪用状況や公開状況、攻撃自動化の可能性など、外部要因によって判定が変化するケースがあります。そのため、お客様から「判定変更の理由を継続的に追跡したい」といったご要望をいただくケースが増えていました。Cloudbaseでは、こうした運用の実態や変化の経緯を正しく把握することが、持続可能なセキュリティ体制の構築に不可欠であると考え、今回のアップデートを実施しました。

### アップデート内容
今回のアップデートでは、脆弱性タイムラインの「イベント」および「すべて」タブにおいて、以下の情報を確認できるようになりました。
- ステータスの変更（未解決 / 解決済み / リソース削除）
- SSVC判定に使用される決定木の変化
- 悪用事例
- リソースの公開状況
- 攻撃の自動化可能性
- SSVC判定結果の変更
※「リソースの重要度」の変化についてはタイムラインには表示されません。

これにより、脆弱性の優先度が変化した背景や、どのようなイベントを経て現在の状態に至ったのかを、時系列で確認できるようになります。

### SSVCとは
SSVC (Stakeholder-Specific Vulnerability Categorization) は、米カーネギーメロン大学ソフトウェア工学研究所によって提案された脆弱性の対応優先度を判定するフレームワークです。CVSSベーススコアのような脆弱性そのものの評価ではなく、世間的な脆弱性の悪用状況・攻撃のしやすさ・検出されたリソースの公開状況や重要度といった様々な要素を元に脆弱性の対応優先度を判定することができます。

### 期待される効果
今回のアップデートにより、セキュリティ担当者は脆弱性の状態変化や優先度変動の背景をより正確に把握できるようになります。これにより、
- リスク対応の優先度が変化したタイミングの把握
- インシデント対応や監査時の経緯確認
- リスク評価プロセスの継続的な改善
- 運用チーム間での判断根拠共有
といった、より実践的な脆弱性管理運用を支援します。