リスクを把握した上での対策
自組織の脆弱性を定期的に検証し対策するフローを以下に示す。
(1)製品構成や変更履歴を把握・管理
自組織において利用しているソフトウェアの種類やバージョンなどの製品情報を把握し、常に最新の状態を管理しておくことが必要である。
(2)脆弱性情報を収集し自組織の関連性を把握
最新の脆弱性情報を収集し、脆弱性が発生した製品を自組織で利用していないかを確認する。
(3)関連する脆弱性について検査の実施
もし関連する製品を利用している場合には、脆弱性検査により自組織への影響を把握する必要がある。
(4)脆弱な箇所への対応(要否判断を含む)
自組織への影響が懸念される脆弱性が発見された場合には、その影響度合いなどを考慮した上で対策の要否を判断し、必要な場合には対策を実行する必要がある。
この中で自組織だけでは対応が困難と想定されるのは、脆弱性情報の収集と関連性の把握ではないだろうか。そもそも脆弱性はいつ発見されるか特定することはできず、常に関連情報を監視しておくことは、通常の組織では人員や知識・経験などの観点から難しいだろう。
そこで、脆弱性情報を適宜取得できるような仕組みを構築するために、外部の専門業者などを活用し効率的に取得することも検討すべきであろう。また、製品構成などを適切に管理しておくことで、自組織に必要な脆弱性情報だけを選定して提供してもらえるようにしておけば、効率的な対応を実現できる。
