<インシデントマネジメント②~脆弱性対応~>
さて、前回は<インシデントマネジメント①~インシデントマネジメントの概要を理解する~>としてインシデントマネジメントの基本的な部分をご紹介させて頂きました。
忘れた方は以下から復習頂ければと思います!!
インシデントマネジメント①~インシデントマネジメントの概要を理解する~ - CyberSEALs’s diary
そして今回は「脆弱性対応」についてご紹介をしていきます。
分かりやすくするため、脆弱性対応の一連の流れと共に重要な点についてご説明していきます。ちなみにこの流れは必ず頭に入れるようにしてください。いくつか理由はありますが、脆弱性対応を実際に行う際、闇雲に価値の低い事象に対して時間を割いてしまわないようにするという意味があったり(つまり効率的に対応進めるために!)、情報処理安全確保支援士試験で正解を導き出す際にもきっと役に立つ場面があるはずです ^^) _~~
~脆弱性対応の流れ~
①対象ソフトウェアの把握
→資産管理、構成管理などを行うことを意図しています。ポイントは「自組織にどのような資産が、どのような形で存在しているのか」を把握しておくという点です。
②脆弱性関連情報の収集
→ベンダの公開情報、公的機関の公開情報、このような情報を日頃の運用時から確認し、確認した内容を記録・保存していくことを意図しています。
※ご参考までにですが、ここまでの①、②はCISSPや情報処理安全確保支援士試験ではお馴染みで考え方で「何かをする前の準備が重要だ!」的な観点で、試験問題に解答する上でも重要な考え方となります。僕はCISSP、情報処理安全確保支援士の試験勉強中は「あ、備えあれば患いなし系だ」と頭が反応するようになってました(笑)(笑)
③適用の判断
→「脆弱性対応をするかどうか」を偉い人が判断するということです。あくまで、脆弱性対応は各組織のセキュリティベースライン毎に対応の要否を決定する必要があり、その最終決定は組織の偉い人が責任をもって行う必要があります(^_-)-☆
※これも試験では定番で「マネジメント層が責任を負うべき系」です。(笑)
④計画
⑤検証
⑥適用
→あまり細かすぎても分かりにくいので、④~⑥はまとめていきます。ここでは、現場部門側の役割が大きくなってきますが、パッチ適用、ソフトウェアバージョンアップなどの「変更管理」の手順を思い出して頂くと良いかと思います。実際の現場でも、試験の中でもそうですが、計画を立て、検証を行い、切り戻しが可能となるようにバックアップを取り、その上で本番適用をしましょうということです。そして特に試験的に忘れてはならないのが、一連のプロセスは誰が、いつ、どのような作業をしたか記録をとり文章として残しましょうという点です('ω')
はい。とりあえずこれで①~⑥の脆弱性対応の流れと重要なポイントについては終了となりますが、最後にシステム開発の外部委託に関して1つだけご紹介させて頂いて終わろうと思います!
システム開発を外部委託する。これは特に珍しいことではありませんし、当たり前のことかと思いますが、
「委託契約の中に脆弱性対応に関する観点を含めていますでしょうか?」
IPAは委託契約の中に受託者側の責任において脆弱性診断を実施することを含めるべきと提唱しており、既知の重大な脆弱性が発見された場合は無償で改修を行うことを受託者側と合意すべきとしています。
この点、技術的な観点ではなくエンジニアの方などは盲点となりがちですが、実際の契約時には重要な観点となりますので是非、覚えておいてください!
※ちなみに過去の情報処理安全確保支援士試験で「システム開発の外部委託契約内に、脆弱性対応状況に関する事項を明記する」的な回答があった記憶があります。(^^♪
今回は以上です!ありがとうございました。
※これは年末最後の一匹です。幸せでした(笑)
