この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2020年11月6日にクラスメソッド株式会社主催「Developers.IO Showcase」で 「これから始める脆弱性診断」を発表しました。
セッション概要
脆弱性がマルウェアや不正アクセス等の攻撃に悪用されるケースが増加しています。脆弱性はレイヤごとに対策が求められ、また、継続的な脆弱性対応の管理も求められます。これから脆弱性対策を始める方向けに、クラスメソッドが提供する脆弱性診断オプションと事例についてご紹介します。
本ブログでは、当日使用した資料、セッション中のQ&Aについてまとめます。
スライド
セッション録画
QA
Q. 検知された脆弱性への対応策の提示までお願いすることは可能でしょうか?
F-Secure Radarとイエラエセキュリティのレポートには対応策について記載がございます。 レポート内容以上の説明や修正作業はサービス仕様外となりますが、弊社担当者でアドバイスすることは可能です。
Q. 脆弱性のスキャンによる負荷はどのくらいで考えておけば良いでしょうか?
お客様の環境に依存してしまうため、断定はできませんが他のサービスが利用できなくなるような負荷は通常掛かりません。
Q. Future Vuls の対象OSを教えてください。
FutureVulsのサービス仕様書より、対象OSを参照ください。
Q.Amazon Inspectorでも脆弱性検出できると思うのですが、FutureVulsでは出来ることがどのように違うのでしょうか?
Amazon Inspectorも、エージェントをインストールして、脆弱性情報を収集できる点は同じです。 手軽に、従量制課金で低コストに利用できる点は魅力です。
FutureVulsは、収集した脆弱性に対するトリアージしやすさや、チケット管理、パッチ適用、組織を横断しての管理できたりなど、運用負荷を軽減する機能が充実していることが大きな違いです。
さいごに
脆弱性に対する基本的な考え方と対策方法についてご紹介しました。
もし、本セッションをご覧になり、脆弱性診断や継続的な脆弱性管理にご興味をおもちになられましたら、以下のフォームよりぜひお気軽にお問い合わせください。
2
