インターネットのインフラを支える技術者たちの「オフ会」こと Internet Week 2024 が、11月19日(火)から11月27日(水)の期間開催される。
前半はオンラインで、後半の 3 日間はリアル会場(今年は浅草橋ヒューリックホール&カンファレンス)開催。
本稿では開催4日目の11月25日 (月) に行われるプログラム「これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~」について、プログラム委員の林 郁也(日本シーサート協議会)、登壇者の石田 悠(日本シーサート協議会 / 西日本電信電話株式会社)、大石 眞央(日本シーサート協議会 / 株式会社NTTデータグループ)、柴田 はるな(日本シーサート協議会 / 西日本電信電話株式会社)に見どころを聞いた。
―― このセッション「これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~」を企画した目的はなんですか?
石田:脆弱性管理が重要なのは理解している、だけど具体的なやり方を調べてもなかなか見つからない。ならば無いものは作ってしまえ、ということで、CSIRTのみんなが集まる日本シーサート協議会(NCA)の脆弱性管理ワーキンググループにて、参加者の知見を集めて脆弱性対応の手引きをつくりました。NCAではこれをもとにしたトレーニングも考えているところです。なかなか良いものができたので、皆さんに共有して活用してもらいたいし、我々もフィードバックを得たいと思ったのがきっかけです。
―― どのような点に気を付けて講演者に依頼しましたか?
林:手引書はNCA外にも公開予定ですが、手引書を読む際のポイントや背景を丁寧にわかりやすく伝えてもらうことを依頼しています。手引書は脆弱性対応の業務に着任して初めての方から、ある程度経験のある方まで、セキュリティ担当の方であってもシステムの担当の方であっても…というように、どのようなレベルの方でも立場の方でも対応するように意識してつくられていますが、この講演を聞いてもらうことでよりスムーズに理解してもらえると考えています。もちろん、手引書ありきということではなく、講演をお聞きいただければそれだけで知見を体系的に持って帰っていただける内容です。
―― 講演の見どころ、特に聴いてほしいポイントはどこですか?
石田:一口に脆弱性管理といってもいろんな切り口があります。これを正しく捉えないとやらなければならないことに抜け落ちが生じてしまう。今回はソフトウェア製品のユーザーの立場において拠り所になるものを紹介したいと思っています。
柴田:脆弱性管理の手法は体系的にまとまっているドキュメントが調べた限りありませんでした。これまで断片的な知識だったものを、できるだけ体系的になるようにまとめました。
大石:脆弱性管理はリスク管理に近く、アセット管理やダイナミックに変化する脅威の正しい把握が必要となります。これまでの業務経験で得たものやNCA内で話し合ってまとめた、そうした知見をしっかり説明したいです。
―― 最後にメッセージをお願いします。
柴田:ことセキュリティの分野においては一組織のみで解決できるものは限られてきます。今回、NCAのワーキンググループの皆で手引書を作って、強くそう感じました。一緒にこのような取り組みを行いたい等、ご関心のある方はぜひNCAに来てくださいね!
石田・大石:よりよいものにしていくために、フィードバックについても大歓迎です。どうぞよろしくお願いいたします。
前半はオンラインで、後半の 3 日間はリアル会場(今年は浅草橋ヒューリックホール&カンファレンス)開催。
主催は一般社団法人日本ネットワークインフォメーションセンター(JPNIC)。
本稿では開催4日目の11月25日 (月) に行われるプログラム「これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~」について、プログラム委員の林 郁也(日本シーサート協議会)、登壇者の石田 悠(日本シーサート協議会 / 西日本電信電話株式会社)、大石 眞央(日本シーサート協議会 / 株式会社NTTデータグループ)、柴田 はるな(日本シーサート協議会 / 西日本電信電話株式会社)に見どころを聞いた。
―― このセッション「これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~」を企画した目的はなんですか?
石田:脆弱性管理が重要なのは理解している、だけど具体的なやり方を調べてもなかなか見つからない。ならば無いものは作ってしまえ、ということで、CSIRTのみんなが集まる日本シーサート協議会(NCA)の脆弱性管理ワーキンググループにて、参加者の知見を集めて脆弱性対応の手引きをつくりました。NCAではこれをもとにしたトレーニングも考えているところです。なかなか良いものができたので、皆さんに共有して活用してもらいたいし、我々もフィードバックを得たいと思ったのがきっかけです。
―― どのような点に気を付けて講演者に依頼しましたか?
林:手引書はNCA外にも公開予定ですが、手引書を読む際のポイントや背景を丁寧にわかりやすく伝えてもらうことを依頼しています。手引書は脆弱性対応の業務に着任して初めての方から、ある程度経験のある方まで、セキュリティ担当の方であってもシステムの担当の方であっても…というように、どのようなレベルの方でも立場の方でも対応するように意識してつくられていますが、この講演を聞いてもらうことでよりスムーズに理解してもらえると考えています。もちろん、手引書ありきということではなく、講演をお聞きいただければそれだけで知見を体系的に持って帰っていただける内容です。
―― 講演の見どころ、特に聴いてほしいポイントはどこですか?
石田:一口に脆弱性管理といってもいろんな切り口があります。これを正しく捉えないとやらなければならないことに抜け落ちが生じてしまう。今回はソフトウェア製品のユーザーの立場において拠り所になるものを紹介したいと思っています。
柴田:脆弱性管理の手法は体系的にまとまっているドキュメントが調べた限りありませんでした。これまで断片的な知識だったものを、できるだけ体系的になるようにまとめました。
大石:脆弱性管理はリスク管理に近く、アセット管理やダイナミックに変化する脅威の正しい把握が必要となります。これまでの業務経験で得たものやNCA内で話し合ってまとめた、そうした知見をしっかり説明したいです。
―― 最後にメッセージをお願いします。
柴田:ことセキュリティの分野においては一組織のみで解決できるものは限られてきます。今回、NCAのワーキンググループの皆で手引書を作って、強くそう感じました。一緒にこのような取り組みを行いたい等、ご関心のある方はぜひNCAに来てくださいね!
石田・大石:よりよいものにしていくために、フィードバックについても大歓迎です。どうぞよろしくお願いいたします。
編集部おすすめ
![[Black Hat USA 2014レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security)](http://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252FScannetsecurity%252F3c%252FScannetsecurity_34759%252FScannetsecurity_34759_1_s.jpg,zoom=360x220,quality=100,type=jpg)
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)