FutureVuls Blog

Techカテゴリ

InternetWeek2023で脆弱性対応について講演します

11月中旬から開催されるInternetWeek2023に於いて、脆弱性対応についてお話させていただける機会をいただきましたので、こちらでご紹介いたします。

InternetWeek2023とは

InternetWeek2023は、公式上で「主にインターネットの基盤技術の基礎知識や最新動向を学び、 議論し、理解と交流を深めるためのイベント」とされています。
毎年、様々な講演やハンズオンがあり、セキュリティ系の講演も含まれるイベントです。

今回は、弊社がISOG-Jに加盟しているという縁もあり、 日本シーサート協議会の方を含めた「C6 集まれ!セキュリティ運用ピーポー」という枠でお話をさせていただく機会をいただきました。

セッション概要

まずは、InternetWeekのプログラムと、ScanNetSecuriyの記事を提示します。

記載のように、講演は3部構成になっています。

  • あつまれ!運用ピーポー ~脆弱性対応方法の振返りと、今後の展開~
    • 脆弱性対応についての現状と未来に向けて、という話をします。
  • あつまる! シーサートピーポー ~訓練演習、教育ノウハウを共有してよかった話
    • 訓練や演習、教育ノウハウの共有成功事例を紹介いただけるようです。
  • あつまれ! X.1060ピーポー ~セキュリティ対応組織の教科書の活用~
    • ITU-T X.1060をどう活用するか、という内容のようです。

私は一番最初の、脆弱性対応部分について、以下のようなお話をします。

  • 一般的な、現状の脆弱性対応やトリアージはどうやっているのかを再確認
  • 今年話題に上がってきた各種評価軸について概要の説明
    • SBOM
    • CVSS v4
    • EPSS
  • これらの指標をどうやって使えばいいのか、考えればいいのかの例示
  • 未来に向けて、どのようなアクションを取れば、運用者のQOLが上がる/楽になるのか

セキュリティ運用における、対応/訓練/設計 あたりをまとめて聞けるセッションになると思います。

まとめ

NCAの方の講演も運用上非常に役に立つと思います。
有償イベント 且つ カンファレンスWEEK(現地参加)なので難しいかもしれませんが、可能であればご参加いただけると、何かを得られると思います。

(余談)

ScanNetSecurityの記事、言葉選びが面白いですね。

  • 「稟議がまず通らないような背筋が寒くなる金額でも決してない。」
  • 「もう最高である。」
  • 「「あつまれ!セキュリティ運用ピーポー」と口に出すのがちょっと恥ずかしいタイトルなのですが」
    • 恥ずかしいのかよ!(確かに、口には出さない)
  • 「暗号化した ZIP ファイルを送る日本の「セキュリティ劇場」を「PPAP」と公然と揶揄するステキな講演を一番最初に聞いたのは、ほかならぬこの Internet Week 2016 の会場だった。」
  • 「しかも有料カンファレンスとはいってもガートナー セキュリティ & リスク・マネジメント サミット のように背筋が寒くなる金額では決してない。」
  • 「もう最高と言わざるを得ない。」
    • さてはこの言い回し、気に入りましたね?