情シスを悩ます「脆弱性管理」のあるべき姿を考える
イベント内容
脆弱性管理の難しさ
脆弱性管理は非常に難しいです。理由はいくつかあります。
・CVSSだけでみると、ほとんどが緊急度が高になっていまう。本当はそうではない。
・他社で重大な脆弱性が、自社でも重大とは限らない
・脆弱性は、時間であったり、組織の対策によって変わる
・リスク=情報資産の価値×脆弱性×脅威であるので、同じ脆弱性であっても、情報資産の価値によってもリスクが変わる
・本当に攻撃が成立するかの判断には、セキュリティやシステムに関するかなりのスキルが必要
・脆弱性があれば、それを塞ぐのではあるが、そう簡単にシステムを止めることはできないし、ソフトウェアをアップデートするっていうのは、アプリケーション試験も必要で、かなり大変な作業になる場合がある
勉強会の目的
・脆弱性管理の全体像を理解するる
・脆弱性管理について、どんな選択肢があるかを理解する
・TenableやfutureVulsの脆弱性管理のツールを理解し、効率的な脆弱性管理に役立てる
参加対象者
・脆弱性管理について基礎から学びたい人
・情報システム部に所属し、脆弱性管理を実施されている人
・ネットワークやセキュリティの用語を概ね知っている(または当日までにさらっと勉強する)
・勉強会の運営に理解をしてくださり、協力していただける人
※3つ目に関しては、知っている前提で講義を進めます。
内容およびタイムスケジュール
・現在、カリキュラムを検討中なので、内容は変更すると思います。 ・全体像はWEST-SECによるDDoS対策の全体像(40分)、Tenable(30分)、FutureVuls(30分)、導入事例やパネルディスカッション(20分) ・お互い悪口は言わない
| 項番 | 時刻 | 内容 | 担当 |
|---|---|---|---|
| Program0 | 18:55~ | Web会議の部屋を空けます。 | |
| Program1 | 19:00 ~ 19:30 | ・脆弱性管理に関するアンケートの依頼 1.脆弱性とは 2. 脆弱性管理とは 3. 脆弱性管理の難しさ 4.脆弱性情報の収集方法 5.脆弱性管理のやり方 - 5.1 多くの企業で実施しているやり方 - - ❶台帳を作るって管理する ※場合によってはExcelでの管理 - - ❷管理するシステムを利用する - - ❸脆弱性管理のシステムを入れる(TenableやFuture Vulsなど) - - ❹AWSなどのクラウドサービスのシステムの場合、クラウドサービスで管理する(たとえば、Amazon Inspector) - 5.2 脆弱性管理のシステムをなぜ入れないのか? 6.脆弱性管理の在り方 - 6.1 脆弱性が露呈しないようにすべき - 6.2 クラウドを活用した脆弱性管理 - 6.3 クラウドによるシステム構築 7.SBOMについて |
WEST-SEC 粕淵 |
| Program2 | 19:30 ~ 20:00 | Tenable社の脆弱性管理ツール | Tenable社 |
| Program3 | 20:00 ~ 20:30 | FutureVulsの脆弱性管理ツール | Future社 |
| Program4 | 20:30 ~ 20:40 | 事例紹介 | |
| Program4 | 20:40~21:00 | ・次回イベント告知 ・Q&A ・アンケート記入 |
必要なもの
・Web会議ツール(TeamsやCiscoWebEXなど)の環境。
お願い
・今後のカリキュラムや運営の向上のためにアンケートをお願いします。
・皆様のご協力のもとで運営が成り立っています。事務局側の不手際があるかもしれませんが、ご理解よろしくお願いします。
主催メンバー
・粕淵 卓(NTT西日本セキュリティプリンシパル/文筆家/農林水産省最高情報セキュリティアドバイザー)
特別講師
Tenable社
Future社
注意事項
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。
![[初心者向け]30分で学ぶAWS #devio2021](https://img.youtube.com/vi/rkW9RvmXMjM/default.jpg)
