脆弱性トリアージガイドライン作成の手引き #
Guidance on developing vulnerability triage guidelines.
本ドキュメントは「組織が脆弱性に適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付け(トリアージ)を行うために、その組織に適したトリアージガイドラインを作成するための手引き」です。
組織においてセキュリティ対応を行うためのリソースは限りあるものです。 そのため、発見されたすべての脆弱性に対応できるとは限りません。 限りあるリソースを最大効率で活用するためには、適切に優先順位を付けて対応していく必要があります。
第1章では、対応基本方針の策定について説明しています。 この段階でのトリアージ基準は、高い専門知識を持っていない人でも判断できる程度の基準にとどめています。 それにより迅速に優先順位付けができるようになり、また優先度について関係者全体の意識をある程度揃えることができます。 ただし、簡易的な判断基準であるため、攻撃による実際のリスクとの乖離がある可能性があります。
第2章では、トリアージの精度向上のために考慮するポイントについて記載しています。
第3章では、トリアージの精度向上に活用できるフレームワークを紹介しています。
第4章では、トリアージ実施後の修正コストや例外対応について記載しています。
第5章では、トリアージにまつわる事例を紹介しています。
テンプレート #
本ガイドラインの第1章を使用して作成したサンプルのガイドラインは下記になります。 テンプレートなどにご活用下さい。