インターネットのインフラを支える技術者たちの「オフ会」こと Internet Week 2024 が、11月19日(火)から11月27日(水)の期間開催される。前半はオンラインで、後半の 3 日間はリアル会場(今年は浅草橋ヒューリックホール&カンファレンス)開催。主催は一般社団法人日本ネットワークインフォメーションセンター(JPNIC)。
本稿では開催4日目の11月25日 (月) に行われるプログラム「これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~」について、プログラム委員の林 郁也(日本シーサート協議会)、登壇者の石田 悠(日本シーサート協議会 / 西日本電信電話株式会社)、大石 眞央(日本シーサート協議会 / 株式会社NTTデータグループ)、柴田 はるな(日本シーサート協議会 / 西日本電信電話株式会社)に見どころを聞いた。
―― このセッション「これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~」を企画した目的はなんですか?
石田:脆弱性管理が重要なのは理解している、だけど具体的なやり方を調べてもなかなか見つからない。ならば無いものは作ってしまえ、ということで、CSIRTのみんなが集まる日本シーサート協議会(NCA)の脆弱性管理ワーキンググループにて、参加者の知見を集めて脆弱性対応の手引きをつくりました。NCAではこれをもとにしたトレーニングも考えているところです。なかなか良いものができたので、皆さんに共有して活用してもらいたいし、我々もフィードバックを得たいと思ったのがきっかけです。
―― どのような点に気を付けて講演者に依頼しましたか?
林:手引書はNCA外にも公開予定ですが(編集部註:10月25日に公開された)、手引書を読む際のポイントや背景を丁寧にわかりやすく伝えてもらうことを依頼しています。手引書は脆弱性対応の業務に着任して初めての方から、ある程度経験のある方まで、セキュリティ担当の方であってもシステムの担当の方であっても…というように、どのようなレベルの方でも立場の方でも対応するように意識してつくられていますが、この講演を聞いてもらうことでよりスムーズに理解してもらえると考えています。もちろん、手引書ありきということではなく、講演をお聞きいただければそれだけで知見を体系的に持って帰っていただける内容です。
―― 講演の見どころ、特に聴いてほしいポイントはどこですか?
石田:一口に脆弱性管理といってもいろんな切り口があります。これを正しく捉えないとやらなければならないことに抜け落ちが生じてしまう。今回はソフトウェア製品のユーザーの立場において拠り所になるものを紹介したいと思っています。
柴田:脆弱性管理の手法は体系的にまとまっているドキュメントが調べた限りありませんでした。これまで断片的な知識だったものを、できるだけ体系的になるようにまとめました。
大石:脆弱性管理はリスク管理に近く、アセット管理やダイナミックに変化する脅威の正しい把握が必要となります。これまでの業務経験で得たものやNCA内で話し合ってまとめた、そうした知見をしっかり説明したいです。
―― 最後にメッセージをお願いします。
柴田:ことセキュリティの分野においては一組織のみで解決できるものは限られてきます。今回、NCAのワーキンググループの皆で手引書を作って、強くそう感じました。一緒にこのような取り組みを行いたい等、ご関心のある方はぜひNCAに来てくださいね!
石田・大石:よりよいものにしていくために、フィードバックについても大歓迎です。どうぞよろしくお願いいたします。
●Internet Week 2024
D1-3 これは助かる!ありそうでなかった運用フレームワーク~脆弱性管理の手引き~
https://internetweek.jp/2024/archives/program/d1#d1-3
開催日時: 2024年11月25日(月) 15:00 ~ 16:30(※本プログラムはオンサイト参加のみ)
料金:16,500円(税込)
※ 本プログラム以外にも会期中すべてのプログラムに参加可能。(ただしハンズオンプログラムは定員あり)
講演者:
石田 悠(日本シーサート協議会 / 西日本電信電話株式会社)
大石 眞央(日本シーサート協議会 / 株式会社NTTデータグループ)
柴田 はるな(日本シーサート協議会 / 西日本電信電話株式会社)
※時間割、内容、講演者等は予告なく変更になる場合有
