vuls祭り#8 完了のお知らせ

2023/09/15に「Vuls祭り#8」が実施しました。
今回は脆弱性対応自体の知識のアップデートという意味合いで開催したため、Vuls自体についての話はありませんでした。しかしながら、Vulsを有効に利用するためには必要な知識だと思いますので、有意義な内容だったと考えます。
(実際、Vuls祭りなのにVulsの話はない、という揶揄はそこそこありましたが、上記意図ですのでご理解ください。)

動画公開と概要

さて、上記イベントについて動画をやっと公開できましたので、共有します。

• https://youtu.be/g-HDfS5TWPM
• 音声については現地機材の問題もあり少々良くないです。

簡単に各講演の概要を記載しておきますので、ぜひ動画の方をご確認ください。

• 1. 脆弱性対応入門 -古典的脆弱性診断からモダンなスキャンまで
  • EGセキュアソリューションズ株式会社 徳丸様の講演
  • 脆弱性対応/脆弱性診断の基礎やトリアージまでの、脆弱性対応全般についての講演いただきました。
  • 脆弱性診断の範囲や、どのように対応をすべきか、などの脆弱性対応について再度考えるきっかけになる講演でした。
• 2. CVSSとその限界
  • 株式会社セキュアスカイ・テクノロジー 長谷川様の講演
  • 情報セキュリティとは、CWE/CVE/CVSSやEPSSについて講演いただきました。
  • 本公演後にgigazineで EPSSの記事 が出ていました。もしかしたら関連があるのかもしれません。
• 3. 楽できることは楽をするクラウド自体の脆弱性ハンドリング
  • アマゾン ウェブ サービス ジャパン合同会社 中島様の講演
  • 責任共有モデルとawsの講演をいただきました。
  • この講演それ自体というよりも、この内容を自社の利用している環境でどう考えるのか、という視点で見ていただけると良さそうです。
• 4. X.1060から眺める全体像
  • NTTテクノクロス株式会社 及び ISOG-J 武井様の講演
  • ITU-T X.1060やISOG-J セキュリティ対応組織の教科書について講演いただきました。
  • 脆弱性対応より広い 企業のセキュリティ対応 という視点で、どのような役割があり、自分がどの役割を担うのか、などを考えることができる内容でした。

おわりに

今回のVuls祭りは、脆弱性をどう取り扱うか、という範囲の講演をしていただきました。
Vulsという道具は、それをどう使うかが重要だと考えます。正しい/効率的な脆弱性対応フローの中で検出用の道具として使うことが、継続性のある脆弱性管理の肝だと考えます。
道具が良ければすべて自動で楽ができる、というわけではないので、”組織のセキュリティ対応”という俯瞰的な観点で考えると、脆弱性対応がもう少し楽になるかもしれません。

今回のイベントや動画で、皆様の脆弱性対応ライフが楽になることを祈念いたします。

宣伝

InternetWeek2023で私(井上)が公演することになりました。

• URL: https://internetweek.jp/2023/archives/program/c6
• 2023/11/20(月曜) 15:00-16:30 “C6 あつまれ！セキュリティ運用ピーポー”
• SBONやCVSS v4などを含め、これからどう考えればいいのか、などをご紹介します。

上記のような”組織のセキュリティ対応”という観点で、脆弱性対応全般についてコンサルティングを行っております。
もしよろしければお問い合わせフォームからご相談ください。

また、Vulsのクラウドサービスに該当する FutureVuls もご用意しております。こちらは、SSVCなどを利用でき、脆弱性検出から対応のチケット管理まで一貫して使えます。

• URL: https://vuls.biz/