
「Inspectorを利用した脆弱性管理について」というタイトルで登壇しました #devio2024 #cm_odyssey
こんにちは、みなみです。
今更ですが、2024年7月29日に開催されたClassmethod Odyssey ONLINE ソフトウェア開発編に登壇してました。
その時の資料を公開いたします。
またYoutubeにも録画が公開されておりますので、ぜひご覧ください
概要
脆弱性管理とか何か?大量の脆弱性が検出した場合にどのように優先度付けをすればいいのか?など、脆弱性管理・トリアージの基本について解説したセッションとなります。
一部抜粋
脆弱性管理にてトリアージを行う際は、脆弱性の深刻度で優先度を判断するのではなく、リスクで判断する必要があります。
脆弱性管理におけるリスクとは
- 脆弱性の深刻度
- 脅威
- 資産重要性
の複数の観点から総合的に判断されるべきと説明しています。
CVSSの正しい利用法についても説明しています。
スライドの方でも記載していますが、よくあるパターンとしてCVSSスコアを利用したトリアージ方があるかと思います。
例としてはCVSSスコアが7.0以上であれば対応するみたいなルールですね。
しかし、CVSSスコアが高い脆弱性が年々増えており、CVSSスコアのみを頼ったトリアージは破綻しやすいというデメリットがあります。
CVSS自体は有用ですので、スコアだけではなく、ベクターも確認することが重要です。
また、具体的に脅威を判断する際に使われる指標などについても説明していますね。
資産の重要性についてもリスクを判断する上で大切です。
ここではトリアージの一例について解説しています。
もちろん、こちらのトリアージは脆弱性の深刻度と脅威のみでのトリアージになるため、実際は資産の重要性なども加味する必要がありますね。
最後に
脆弱性管理は、厳密な対応方針を決めるのも大切ですが、破綻しない運用で対応していくこともかなり大切になります。
そのためにも正しい脆弱性に関する知識をつけていきましょう!
今回のセッションを聞いて少しづつでも脆弱性管理に対する意識が変われば幸いです。