★☆★JNSAメールマガジン 第288号 2024.5.31☆★☆
2024/05/31 (Fri) 15:30
★☆★JNSAメールマガジン 第288号 2024.5.31☆★☆
こんにちは
JNSAメールマガジン 第288号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
株式会社トライコーダ 代表取締役 上野 宣様にご寄稿いただきました。
【連載リレーコラム】
# 組織に適したトリアージガイドラインを作成するための
『脆弱性トリアージガイドライン作成の手引き』
ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
株式会社トライコーダ 代表取締役 上野 宣
本WGでは「組織が脆弱性に適切に対応することを目的として、脆弱性診断を
実施した際に提供された報告書に記載された脆弱性対応の優先順位付け
(トリアージ)を行うために、その組織に適したトリアージガイドラインを
作成するための手引き」となる『脆弱性トリアージガイドライン作成の手引き』
を作成し、2024年5月に公開しました。
* https://github.com/WebAppPentestGuidelines/TriageGuidelines/
組織においてセキュリティ対応を行うためのリソース(人、環境、お金など)は
限りあるものです。そのため、発見されたすべての脆弱性に対応できるとは
限りません。
限りあるリソースを最大効率で活用するためには、適切に優先順位を付けて
対応していく必要があります。
## 適切なトリアージを行うためには明確な判断基準が必要
インシデントハンドリングに おいてトリアージを適切に行うためには、
あらかじめトリアージのための判断基準を明確に定めておくことが必要で
あるのと同様、脆弱性対応においてもトリアージの判断基準が必要です。
ただ、トリアージの判断基準は「守るべきものは何か?」という基本的な
組織の活動ポリシーによって変わってくるため、組織ごとに適切なトリアージ
ガイドラインが必要になります。
## 最低限のトリアージ体制を作る
本ドキュメントは現在、第1章のみの公開となっています。
第1章では、対応基本方針の策定について記載し、自組織で最低限のトリアージを
迅速に行える体制を整えるための脆弱性トリアージガイドラインを作成する方法
を解説しています。また、参考となるテンプレートも公開しています。
第1章の構成は以下の 通りです。
* 本章の目的
* 関係者の役割と責任を明確にする
* トリアージガイドラインの適用範囲の決定
* 脆弱性の影響範囲の調査
* トリアージで決めるべきこと
* 対象の重要度評価
* 脆弱性の危険度評価
* 対応の優先度を決める
* 対応の要否と期限を決める
* 脆弱性の管理方法
* 最後に
この段階でのトリアージの判断基準 は、高い専門知識を持っていない人でも
判断できる程度の基準にとどめています。 それにより迅速に優先順位付けが
できるようになり、また優先度について関係者全体の意識をある程度揃える
ことができます。
ただしあくまで簡易的な判断基準であるため、攻撃による実際のリスクとの
乖離がある可能性があります。
## トリアージの精度を向上させる
自組織に適したトリアージガイドラインを作るためには、運用を行いながら
ガイドラインを見直していく必要があります。
また、部署やプロジェクトごとにトリアージの判断基準などが異なることも
あります。その場合には、プロジェクトごとにトリアージガイドラインを
作ることも検討してください。
今後執筆予定の第2章以降では、高度な専門知識をもった人がリスク判定の
精度を上げるための手法や、詳細な判断に活用できるフレームワークなどを
紹介する予定です。
ガイドラインは一度作成したものを使い続けるのではなく、脆弱性対応が完了
した後に、トリアージ時の改善点(反省点)を踏まえ、アップデートすることを
推奨します。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/2rpa8x6e
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J) WG1
脆弱性診断士スキルマッププロジェクトより
「脆弱性トリアージガイドライン作成の手引き」を公開しました。
https://isog-j.org/output/2024/TriageGuidelines.html
★6/15開催!!産学情報セキュリティ人材育成検討会主催
「JNSAインターンシップ交流会」参加者募集中です。
https://www.jnsa.org/internship/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第288号
発信日:2024年5月31日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第288号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
株式会社トライコーダ 代表取締役 上野 宣様にご寄稿いただきました。
【連載リレーコラム】
# 組織に適したトリアージガイドラインを作成するための
『脆弱性トリアージガイドライン作成の手引き』
ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
株式会社トライコーダ 代表取締役 上野 宣
本WGでは「組織が脆弱性に適切に対応することを目的として、脆弱性診断を
実施した際に提供された報告書に記載された脆弱性対応の優先順位付け
(トリアージ)を行うために、その組織に適したトリアージガイドラインを
作成するための手引き」となる『脆弱性トリアージガイドライン作成の手引き』
を作成し、2024年5月に公開しました。
* https://github.com/WebAppPentestGuidelines/TriageGuidelines/
組織においてセキュリティ対応を行うためのリソース(人、環境、お金など)は
限りあるものです。そのため、発見されたすべての脆弱性に対応できるとは
限りません。
限りあるリソースを最大効率で活用するためには、適切に優先順位を付けて
対応していく必要があります。
## 適切なトリアージを行うためには明確な判断基準が必要
インシデントハンドリングに おいてトリアージを適切に行うためには、
あらかじめトリアージのための判断基準を明確に定めておくことが必要で
あるのと同様、脆弱性対応においてもトリアージの判断基準が必要です。
ただ、トリアージの判断基準は「守るべきものは何か?」という基本的な
組織の活動ポリシーによって変わってくるため、組織ごとに適切なトリアージ
ガイドラインが必要になります。
## 最低限のトリアージ体制を作る
本ドキュメントは現在、第1章のみの公開となっています。
第1章では、対応基本方針の策定について記載し、自組織で最低限のトリアージを
迅速に行える体制を整えるための脆弱性トリアージガイドラインを作成する方法
を解説しています。また、参考となるテンプレートも公開しています。
第1章の構成は以下の 通りです。
* 本章の目的
* 関係者の役割と責任を明確にする
* トリアージガイドラインの適用範囲の決定
* 脆弱性の影響範囲の調査
* トリアージで決めるべきこと
* 対象の重要度評価
* 脆弱性の危険度評価
* 対応の優先度を決める
* 対応の要否と期限を決める
* 脆弱性の管理方法
* 最後に
この段階でのトリアージの判断基準 は、高い専門知識を持っていない人でも
判断できる程度の基準にとどめています。 それにより迅速に優先順位付けが
できるようになり、また優先度について関係者全体の意識をある程度揃える
ことができます。
ただしあくまで簡易的な判断基準であるため、攻撃による実際のリスクとの
乖離がある可能性があります。
## トリアージの精度を向上させる
自組織に適したトリアージガイドラインを作るためには、運用を行いながら
ガイドラインを見直していく必要があります。
また、部署やプロジェクトごとにトリアージの判断基準などが異なることも
あります。その場合には、プロジェクトごとにトリアージガイドラインを
作ることも検討してください。
今後執筆予定の第2章以降では、高度な専門知識をもった人がリスク判定の
精度を上げるための手法や、詳細な判断に活用できるフレームワークなどを
紹介する予定です。
ガイドラインは一度作成したものを使い続けるのではなく、脆弱性対応が完了
した後に、トリアージ時の改善点(反省点)を踏まえ、アップデートすることを
推奨します。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/2rpa8x6e
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J) WG1
脆弱性診断士スキルマッププロジェクトより
「脆弱性トリアージガイドライン作成の手引き」を公開しました。
https://isog-j.org/output/2024/TriageGuidelines.html
★6/15開催!!産学情報セキュリティ人材育成検討会主催
「JNSAインターンシップ交流会」参加者募集中です。
https://www.jnsa.org/internship/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第288号
発信日:2024年5月31日
発 行:JNSA事務局 sec@jnsa.org
*************************************