最後に #

１章では、ひとまず優先度をおおまかに優先度付けするための基準作りについて説明しました。 この基準で実際にトリアージをしてみると、例えば優先度高に分類した対象が大量出てきてしまって、さらにその中で優先順位付けが必要になる、ということがあるかもしれません。あるいは、この基準で算出した脆弱性危険度と感覚的な危険度に乖離があるかもしれません。

前述の通り、ガイドラインは一度作成したものを使い続けるのではなく、脆弱性対応が完了した後、あるいは1～2年のサイクルで、トリアージ時の改善点（反省点）を踏まえ、アップデートすることを推奨します。

その際まずは、基準の定義を変更することで調整できないかどうか検討してみてください。例えば危険度のボーダーラインとなるCVSS値を上下させたり、優先度マトリックスの定義の変更などが考えられます。

それでも調整しきれない場合は、資産価値や危険度をより詳細に評価したり、例えば攻撃コードの流通状況など別の評価軸を導入していく必要があります。ただしそのためには多くの場合、詳細な評価をするためにより専門的な知識が必要になってきます。２章ではそれらの手法について紹介します。

どうしてもすべてのシステムに適用できる統一的な基準の調整が難しいようであれば、特定のシステム専用に基準値の違うガイドラインを作成することも検討してください。