日本セキュリティオペレーション事業者協議会(ISOG-J)は5月24日、「脆弱性トリアージガイドライン作成の手引き」を公開した。
指定事業者への禁止事項や遵守事項定める ~「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」成立
同ドキュメントは、組織が脆弱性に適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付け(トリアージ)を行うために、その組織に適したトリアージガイドラインを作成するための手引きで、現時点で第1章までの公開となっている。
第1章では、対応基本方針の策定について説明しており、 この段階でのトリアージ基準は、高い専門知識を持っていない人でも判断できる程度にとどめている。それにより迅速に優先順位付けができるようになり、優先度について関係者全体の意識をある程度揃えることができるが、簡易的な判断基準であるため、攻撃による実際のリスクとの乖離がある可能性がある。
第1章では「脆弱性の影響分析」、「リスク判定基準」、「対応の要否と期限を決める」といった対応基本方針を策定することで、迅速に最低限のトリアージが可能な体制を構築することを目的としており、下記の特徴がある。
・脆弱性やリスク評価に関する専門知識がなくても、素早くトリアージを行うことができる
・主観的な判断が入らず、誰がトリアージしても同じ結果となる
・攻撃コードの存在の有無などによって、実際に脅威が発生するリスクと乖離する可能性がある
・素早くトリアージを行うことができる反面、対応しなければならない脆弱性が多くなり、対応が過剰になる可能性がある
トリアージの精度向上について記載した第2章以降は今後執筆予定。
