ヌーラボ、脆弱性の早期発見につながるセキュリティ対策を推進

NO BUDGET

2023-08-18 07:00

 ヌーラボは、脆弱(ぜいじゃく)性報告窓口設置ツール「IssueHunt VDP」を導入した。同ツールを提供する IssueHuntが発表した。

 VDP(Vulnerability Disclosure Program)は「脆弱性開示プログラム」のことで、第三者が脆弱性を発見した際に脆弱性を報告できる窓口を設置することで、それらの脆弱性を悪用される前に修正できるようにする。

 IssueHunt VDPでは、これまでCSIRT(Computer Security Incident Response Team)やセキュリティチームの公開メールアドレス、カスタマーサポート、担当者のSNSのダイレクトメッセージ(DM)などに送られていた脆弱性報告を、VDPに集約することで効率的に管理できるようになるという。

 また脆弱性に特化したフォームの作成や設置、報告者とメッセージをできる機能や、報告者への謝辞、脆弱性を公開する機能といったVDPに必要な機能を全てノーコードで実装できる。さらに受け取った報告はダッシュボード内に蓄積され、ステータス(対応待ち・改善済み等)を可視化し、チームで共有できるという。

 なおIssueHuntでは、社内にセキュリティの知見を有する人がいない場合や、セキュリティチームが多忙の場合は、同社のサポートチームが運用を代行する。

 クラウドサービスを主要な事業としているヌーラボでは、脆弱性の早期発見と迅速な対処を行うため、導線整備をする必要があり、IssueHunt VDPを導入した。また「security.txt」に報告窓口を記載するために自社のVDPを整備する必要性も感じていたという。

 同社はこれまで、問い合わせフォームで脆弱性報告を受け取っており、サービスに関する問い合わせなどと情報が混在してしまい、内容に応じて社内の担当組織に割り振る手間が発生していた。

 同社によると、報告者側の立場では仮に脆弱性を発見してもほとんどの場合が報告に至らないケースが多いという。しかし、VDPを導入し、報告者側が報告しやすい導線を整えることで脆弱性の報告を受け取れる可能性が高まると考え、導入に至った。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]