前回の振り返り
- 情報セキュリティ対策の第一歩はこちらをご参照ください。
今回のお話
- 私が現職で検討した脆弱性対応の取り組み(導入編)について、共有します。
脆弱性対応(導入編)
目的
- 現在、担当しているプロダクトでは脆弱性に関する運用をしていないことで、セキュリティリスクがあると考える。
- 脆弱性に関する運用をを整備する必要がある。
やりたいこと
- 担当しているプロダクトの脆弱性対応運用の公式化。
- 「情報収集」と「情報分析」にフォーカスして対応を検討する
- 脆弱性対応運用実施によるセキュリティリスクの低減。
- 開発者と協力した脆弱性対応イテレーションの実現。
手段
- 脆弱性情報収集スキームを確立し、世の中の脆弱性トレンドを把握する。
- 脆弱性情報分析スキームを確立し、担当しているプロダクトへの影響分析を行い、対応要否を確定する。
- 対応要となった場合、開発者と連携して対応を行う。
脆弱性対応における役割
- 推進担当者
- CSIRT
- 実行担当者
- バックエンド開発チーム
- 画面開発チーム
脆弱性対応運用フロー
