脆弱性管理の現状と課題整理
はじめに
皆さんの会社では、脆弱性をどのように管理していますか?
今回は、自社で実施している脆弱性管理の現状と課題について整理し、
改善のヒントにしていきたいと思います。
現状
脆弱性診断の実施状況
脆弱性管理の第一歩は、脆弱性診断の実施です。
どのような診断をいつ行っているかを以下にまとめました。
| 診断種類 | 実施タイミング | 診断詳細 | 実施担当 | レポート形式 |
|---|---|---|---|---|
| Webアプリケーション診断 | 修正リリース時、大規模リリース時、年1回の定期診断 | 内製: ZAP Proxy、外部委託 | 開発・運用保守担当、外部委託先 | ZAPレポート、外部委託レポート |
| モバイルアプリ診断 | 大規模リリース時、年1回の定期診断 | 外部委託のみ | 外部委託レポート | |
| プラットフォーム診断 | 大規模リリース時、月1回の定期診断 | 内製: NESSUS Professional | セキュリティ担当、開発担当 | NESSUSレポート |
| クラウド診断 | 年1回の定期診断 | 外部委託のみ | 外部委託レポート | |
| SaaS診断ツール | 不定期、月1回に変更予定 | 内製:SaaS型診断ツール | セキュリティ担当、開発担当 | 診断ツールレポート |
脆弱性診断結果の管理方法
診断結果は以下のデータで管理しています。これに基づき対策を進め、次の診断実施計画を立てています。
| データ名 | 概要 | 管理項目の例 |
|---|---|---|
| サイト一覧 | 社内の全サイトをFQDN単位で管理 | FQDN、URL、サイト名、サイトオーナー名、サービス開始日、終了日など |
| 診断状況一覧 | 脆弱性診断の実施状況を管理 | IP制限情報、実施対象、実施日、レポートファイルパス、次回予定日など |
| 対策状況一覧 | 脆弱性診断の検出結果と対策状況を管理 | レベル、脆弱性名、対策ステータス、対策予定日、確認日、確認エビデンスパス |
課題
実施環境
Webアプリケーション診断は、開発チームとステージング環境を共用しているため、負荷やゴミデータが発生します。
通常のテストの妨げにならないよう、定期診断のスケジュールを調整したりしています。
最新バージョンがリリースできて、テストデータが初期設定で入っていて、診断後に破棄できる環境がほしいところですが、
現在のところ、できる見込みはありません。
実施タイミング
自動で定期実行できるのがよいですが、
ゴミデータが残ることで費用が増加することも課題です。
結果管理
現在、専用の管理ツールではなくスプレッドシートで管理していますが、
データの破損を防ぐためセキュリティ担当以外の更新を制限しています。
そのため、更新が滞り最新情報が反映されないことがあります。
管理ツールの導入により、担当者が最新情報を更新できるようにしたいです。
サイト一覧の完全性
自社開発のサイトだけでなく、各事業部が外部委託やホスティングを利用して運用しているサイトも存在します。
セキュリティチームが全サイトを網羅的に把握できる仕組みを整備することが必要です。
自社開発のサイトについては、定期的な棚卸も必要ですが、現状では十分に行えていません。
おわりに
今後、今回整理した課題を解決し、後日その結果を共有できるとよいなと思います。