脆弱性管理チームの編成

脆弱性管理チームの責任

最適化フェーズの組織は、以下の責任を持つ脆弱性管理チームを設置すべきです

  • 最新の脆弱性を追跡する
  • 開発チーム向けの勧告を作成する
  • 重大な脆弱性が発生した場合に警告し、エスカレーションする
  • 重大な脆弱性の修正作業をリード・調整する
  • 組織が脆弱性の深刻度を分類するための基準 (CVSS、EPSS、SSVC、VPR) を定義する
  • セキュリティ期待値の設定: 特定の深刻度の脆弱性をどのように、どのタイムフレームで修正すべきかを定義する
  • 脆弱性修正の SLA について DevOps チームから合意・コミットメントを得る (または CISO、CIO の同意を得てトップダウンで強制する)
  • 脆弱性の修正時間を測定する
  • 各チームのワークロードに関連する脆弱性の可視性を提供する

自動修正またはエスカレーションのタイミング

脆弱性を修正するためのプロセスを整備する必要があります。このプロセスは業界によって異なりますが、以下は、プロセス定義の参考例です。

  • [非本番環境 OS の重大な脆弱性]: X 時間以内にパッチが適用されない場合、自動適用する
  • [本番環境 OS の重大な脆弱性]: X 時間以内にパッチが適用されない場合、エスカレーションする
  • [非本番環境の高リスク脆弱性]: Y 時間以内にパッチが適用されない場合、自動適用する
  • [コードの高リスクまたは重大な脆弱性]: X 時間以内に修正されない場合、そのチームのセキュリティ担当者に連絡する。当日中に解決されない場合、エスカレーションする

各チームに自チームの脆弱性を可視化するダッシュボードを提供し、マネージャー/ディレクター単位で脆弱性を集計したダッシュボードを提供することで、脆弱性解決への取り組みを促進できます。

主なリスクと軽減

  • 大規模な脆弱性の悪用の多くは、脆弱性が知られてから数日または数週間後に発生しますが、多くの組織が適切な脆弱性管理チーム、プロセス、ツールを持っていないため、依然として成功してしまうことが多いです。
  • すべての脆弱性を直ちにパッチ適用することは大規模では不可能であり、パッチを適用しないリスクは大きすぎます。そのため、脆弱性の重要度と悪用の可能性に応じて、確実にパッチを適用するための定義とプロセスを持つことが重要です。
  • ほとんどの開発チームはセキュリティの専門家ではないため、セキュアコーディングのプラクティスを実践することも優先する時間もありません。

評価のガイダンス

  • 上記のタスクを担当するチームがありますか?
  • そのチームの責任は何ですか?
  • 脆弱性修正のための定義されたプロセスがありますか?
  • 長期間未解決の脆弱性に対して、自動修正またはエスカレーションが設定されていますか?