脆弱性の対応はどうするの?摆アンカンファレンス蔼颁搁翱厂厂2015闭
- 3. 自分のバックグラウンド ? インフラエンジニア not アプリケーション内の 脆弱性 ? 基本は、OS内での脆弱性 ? システムのほとんどはLinux ? クラウドでお客様に提供しているイメージ(AWS でいう、amiみたいなもの)。Windowsあり
- 4. 脆弱性を追いかける ? NVD ? Secrity Forcus ? JVN ? 一部のML(Linuxディストリや、OpenLDAPな ど)
- 5. 評価する 脆弱性自体の評価 1. 広さ (どういうシステムに影響があるか) 2. 種類 - 機密性 - 完全性 - 可用性 3. 容易さ (現在の状況) - ローカル??ネットワーク経由? - 認証? 4. 深さ (どれだけ深刻か) ドメイン的な対応の評価 1. 影響のある重要性 2. ビジネス的な重要性 3. 対応をしたらどういう影響があるか、しなかったらどうか 4. 工数
- 6. 最近困っている?不思議なこと 1. 脆弱性の実現性?容易さがあまり評価になってい ない感じでバズること 2. 脆弱性の種類(機密性など)と対応方針のバランス 3. 我流なので、判断に迷う 4. 社内で他に後継の人を探したい。どうすれば…