現代のITシステムは複雑化し、開発サイクルは短期化が進んでいます。バグバウンティなどの活動や脆弱性を発見する技術の向上も寄与して、システムに潜む脆弱性の公開数は増加の一途を辿っています。これらの脆弱性を悪用したシステムへの侵入や情報窃取から、事業や組織を守るためにセキュリティ担当者は対応に追われる日々を送っています。 本セッションでは、このような状況下における脆弱性管理の課題を共有し、限られたリソースで効率的かつ効果的に脆弱性に対処するためのアプローチを紹介します。具体的には、ISOG-Jが公開している「脆弱性トリアージガイドライン作成の手引き」と「ASM導入検討を進めるためのガイダンス」を軸に、以下の課題について議論します。 すべての資産の脆弱性に等しく対応することは、大変な困難を伴いますが、脆弱性トリアージの方針を策定し、リスクベースで優先順位付けを行うことで、限られたリソースを有効活用できます。脆弱性トリアージの必要性と、組織にあったガイドライン作成の作り方をご案内します。 また、システムの全体像を把握し、攻撃対象領域を明確化することで、脆弱性対策の効率化を図ることができますが、そのためにはIT資産の管理から脆弱性対応までの管理プロセスを確立しておくことが重要です。ASMの必要性や要件定義の進め方、導入から運用までのポイントについて解説します。さらに、上記の内容を踏まえ、組織における脆弱性管理体制の構築についても触れます。 本セッションは、セキュリティ担当者だけでなく、システム開発者や経営層など、組織全体で脆弱性対策に取り組む必要性を認識しているすべての方々にとって有益な内容となっています。