Cultureカテゴリ

Vuls祭り#8の動画公開と概要

vuls祭り#8 完了のお知らせ

2023/09/15に「Vuls祭り#8」が実施しました。
今回は脆弱性対応自体の知識のアップデートという意味合いで開催したため、Vuls自体についての話はありませんでした。しかしながら、Vulsを有効に利用するためには必要な知識だと思いますので、有意義な内容だったと考えます。
(実際、Vuls祭りなのにVulsの話はない、という揶揄はそこそこありましたが、上記意図ですのでご理解ください。)

動画公開と概要

さて、上記イベントについて動画をやっと公開できましたので、共有します。

簡単に各講演の概要を記載しておきますので、ぜひ動画の方をご確認ください。

    1. 脆弱性対応入門 -古典的脆弱性診断からモダンなスキャンまで
    • EGセキュアソリューションズ株式会社 徳丸様の講演
    • 脆弱性対応/脆弱性診断の基礎やトリアージまでの、脆弱性対応全般についての講演いただきました。
    • 脆弱性診断の範囲や、どのように対応をすべきか、などの脆弱性対応について再度考えるきっかけになる講演でした。
    1. CVSSとその限界
    • 株式会社セキュアスカイ・テクノロジー 長谷川様の講演
    • 情報セキュリティとは、CWE/CVE/CVSSやEPSSについて講演いただきました。
    • 本公演後にgigazineで EPSSの記事 が出ていました。もしかしたら関連があるのかもしれません。
    1. 楽できることは楽をするクラウド自体の脆弱性ハンドリング
    • アマゾン ウェブ サービス ジャパン合同会社 中島様の講演
    • 責任共有モデルとawsの講演をいただきました。
    • この講演それ自体というよりも、この内容を自社の利用している環境でどう考えるのか、という視点で見ていただけると良さそうです。
    1. X.1060から眺める全体像
    • NTTテクノクロス株式会社 及び ISOG-J 武井様の講演
    • ITU-T X.1060やISOG-J セキュリティ対応組織の教科書について講演いただきました。
    • 脆弱性対応より広い 企業のセキュリティ対応 という視点で、どのような役割があり、自分がどの役割を担うのか、などを考えることができる内容でした。

おわりに

今回のVuls祭りは、脆弱性をどう取り扱うか、という範囲の講演をしていただきました。
Vulsという道具は、それをどう使うかが重要だと考えます。正しい/効率的な脆弱性対応フローの中で検出用の道具として使うことが、継続性のある脆弱性管理の肝だと考えます。
道具が良ければすべて自動で楽ができる、というわけではないので、”組織のセキュリティ対応”という俯瞰的な観点で考えると、脆弱性対応がもう少し楽になるかもしれません。

今回のイベントや動画で、皆様の脆弱性対応ライフが楽になることを祈念いたします。

宣伝

InternetWeek2023で私(井上)が公演することになりました。

  • URL: https://internetweek.jp/2023/archives/program/c6
  • 2023/11/20(月曜) 15:00-16:30 “C6 あつまれ!セキュリティ運用ピーポー”
  • SBONやCVSS v4などを含め、これからどう考えればいいのか、などをご紹介します。

上記のような”組織のセキュリティ対応”という観点で、脆弱性対応全般についてコンサルティングを行っております。もしよろしければご相談ください。

  • mailto: k.inoue.xz@future.co.jp / Future株式会社 CSIG(CyberSecurityInnovationGroup);セキュリティコンサル

また、Vulsのクラウドサービスに該当する FutureVuls もご用意しております。こちらは、SSVCなどを利用でき、脆弱性検出から対応のチケット管理まで一貫して使えます。