先日、2025 年 5 月 15 日に開催されたセキュリティ勉強会 「WEST-SEC 情シスを悩ます『脆弱性管理』のあるべき姿を考える」に、弊社の 神戸 と 木戸 が登壇いたしました。ご参加くださった皆さま、並びに運営スタッフの皆さまに心より御礼申し上げます。
本記事では、イベント当日の様子と、弊社が担当したセッション 「FutureVuls の脆弱性管理ツール」 の内容を中心にご報告いたします。
WEST-SEC は関西最大級のセキュリティ勉強会です。毎回、多彩な分野の専門家が登壇し、幅広いテーマで知見を共有しています。
(connpass イベントページ)
今回もオンライン形式で開催され、参加申し込み者数は 906 名にのぼりました。各セッションのチャット欄では活発な質疑応答が行われ、参加者の皆さまのセキュリティへの関心の高さがうかがえました。
弊社からは以下 2 つのテーマで登壇いたしました。
後半の資料は非公開のため、詳細をご希望の方はぜひ Web サイト からお問い合わせください。本記事では前半パートのポイントを抜粋してご紹介します。
1. ランサムウェアの脅威と脆弱性悪用の実態
企業規模を問わずランサムウェア被害が増加しており、国内では VPN 機器などの脆弱性を突いた侵入が目立つ現状を解説しました。
2. 攻撃者が狙う脆弱性と従来の評価手法の限界
攻撃者は必ずしも最新の脆弱性だけを狙う訳ではなく、古い脆弱性も巧妙に悪用します。従来の CVSS スコアだけでは優先度付けが困難になる課題を指摘しました。
3. リスクベースで考える新しい脆弱性管理手法 SSVC
実際に悪用されている脆弱性は全体の数%に過ぎないというデータを示し、脅威と影響を考慮する SSVC(Stakeholder-Specific Vulnerability Categorization) を紹介。膨大な脆弱性の中から現実的な対応数に絞り込める利点をデモを交えて説明しました。
4. SSVC 活用のポイントと継続的な脆弱性管理の重要性
SSVC の判断基準、脆弱性を放置するリスク、継続的な管理運用の必要性を具体例で強調しました。
チャットでは多くの質問が寄せられました。主な Q&A を抜粋してご紹介します。
講演資料は Docswell で公開しています。
基礎から実践的なツール活用、組織としての向き合い方まで幅広く学べる内容でした。参加者アンケートでは企業が抱えるリアルな課題が可視化され、大変参考になりました。
資料とアンケート結果は以下で公開されています。
電通総研 CSIRT の脆弱性管理チームリーダーである福山さんから、FutureVuls を用いた全社的な取り組み事例をご紹介いただきました。
ツール導入はゴールではなく、対応基準の策定や全社周知など、人とプロセスを組み合わせた運用が不可欠。現場担当者と密にコミュニケーションを取り、組織全体の意識を統一することが重要。
FutureVuls 導入事例の詳細は ScanNetSecurity の記事をご覧ください。
SSVC や EPSS などリスクベースのアプローチを実運用に落とし込むには、継続的に脆弱性を可視化・優先順位付けし、対応状況を追跡できる仕組みが欠かせません。FutureVuls は、この「継続的な脆弱性管理」を強力に支援する 国産クラウドサービス です。
ご興味をお持ちの方は、ぜひ「製品サイト」をご覧いただくか、お気軽にお問い合わせください。