WEST-SEC 情シスを悩ます「脆弱性管理」のあるべき姿を考えるで講演しました

WEST-SEC セキュリティ勉強会のバナー画像

先日、2025 年 5 月 15 日に開催されたセキュリティ勉強会 「WEST-SEC 情シスを悩ます『脆弱性管理』のあるべき姿を考える」に、弊社の神戸と木戸が登壇いたしました。ご参加くださった皆さま、並びに運営スタッフの皆さまに心より御礼申し上げます。

本記事では、イベント当日の様子と、弊社が担当したセッション 「FutureVuls の脆弱性管理ツール」 の内容を中心にご報告いたします。

WEST-SEC とは

WEST-SEC は関西最大級のセキュリティ勉強会です。毎回、多彩な分野の専門家が登壇し、幅広いテーマで知見を共有しています。
（connpass イベントページ）

今回もオンライン形式で開催され、参加申し込み者数は 906 名にのぼりました。各セッションのチャット欄では活発な質疑応答が行われ、参加者の皆さまのセキュリティへの関心の高さがうかがえました。

弊社セッションの概要

弊社からは以下 2 つのテーマで登壇いたしました。

前半：「脆弱性管理の勘所－実際に運用を回すための考え方」（登壇：神戸）
後半：「FutureVuls のご紹介」（登壇：木戸）

後半の資料は非公開のため、詳細をご希望の方はぜひ Web サイトからお問い合わせください。本記事では前半パートのポイントを抜粋してご紹介します。

前半パートのポイント

1. ランサムウェアの脅威と脆弱性悪用の実態
企業規模を問わずランサムウェア被害が増加しており、国内では VPN 機器などの脆弱性を突いた侵入が目立つ現状を解説しました。

2. 攻撃者が狙う脆弱性と従来の評価手法の限界
攻撃者は必ずしも最新の脆弱性だけを狙う訳ではなく、古い脆弱性も巧妙に悪用します。従来の CVSS スコアだけでは優先度付けが困難になる課題を指摘しました。

3. リスクベースで考える新しい脆弱性管理手法 SSVC
実際に悪用されている脆弱性は全体の数％に過ぎないというデータを示し、脅威と影響を考慮する SSVC（Stakeholder-Specific Vulnerability Categorization） を紹介。膨大な脆弱性の中から現実的な対応数に絞り込める利点をデモを交えて説明しました。

4. SSVC 活用のポイントと継続的な脆弱性管理の重要性
SSVC の判断基準、脆弱性を放置するリスク、継続的な管理運用の必要性を具体例で強調しました。

チャットでは多くの質問が寄せられました。主な Q&A を抜粋してご紹介します。

インターネットに接続できない環境や、スキャナをインストールできない環境でも管理できますか？ → https://help.vuls.biz/manual/scan/paste/
スキャン方法の詳細は？ → https://help.vuls.biz/manual/scan/select/
ネットワーク機器や商用ミドルウェアのスキャン方法は？ → https://help.vuls.biz/manual/scan/select/#ネットワーク機器や商用ミドルウェア自分でコンパイルしたものをスキャン

講演資料は Docswell で公開しています。

west-sec 情シスを悩ます「脆弱性管理」のあるべき姿を考える：脆弱性管理の勘所- 実際に運用を回すための考え方 - by @FutureVuls

他のセッションのハイライト

「脆弱性管理概要とアンケート」（WEST-SEC 粕淵さん）
「脆弱性の影響を受けにくいシステム設計」（平田さん）
「Tenable 社の脆弱性管理ツール」（Tenable社岩下さん）
「全社で取り組む脆弱性管理の実際」（電通総研福山さん）

「脆弱性管理概要とアンケート」

基礎から実践的なツール活用、組織としての向き合い方まで幅広く学べる内容でした。参加者アンケートでは企業が抱えるリアルな課題が可視化され、大変参考になりました。

資料とアンケート結果は以下で公開されています。

https://west-sec.com/entry/vulnerability#12WEST-SEC%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88

「全社で取り組む脆弱性管理の実際」

電通総研 CSIRT の脆弱性管理チームリーダーである福山さんから、FutureVuls を用いた全社的な取り組み事例をご紹介いただきました。

ツール導入はゴールではなく、対応基準の策定や全社周知など、人とプロセスを組み合わせた運用が不可欠。現場担当者と密にコミュニケーションを取り、組織全体の意識を統一することが重要。

FutureVuls 導入事例の詳細は ScanNetSecurity の記事をご覧ください。

脆弱性管理ツール「FutureVuls」のご紹介

SSVC や EPSS などリスクベースのアプローチを実運用に落とし込むには、継続的に脆弱性を可視化・優先順位付けし、対応状況を追跡できる仕組みが欠かせません。FutureVuls は、この「継続的な脆弱性管理」を強力に支援する 国産クラウドサービス です。

自動検知とリスク評価 — OS・ミドルウェア・コンテナを横断して脆弱性を自動検出し、SSVC や EPSS を用いた自動トリアージ機能により脆弱性管理を徹底的に自動化。
ダッシュボードとチケット連携 — リスクレベルや影響範囲を可視化し、Slack など外部ツールと連携して進捗管理を効率化。
大規模環境への対応 — グループ管理機能で複数部門・拠点をまたぐ運用をサポート。インターネットに接続できない環境もサポート。

ご興味をお持ちの方は、ぜひ「製品サイト」をご覧いただくか、お気軽にお問い合わせください。

お問い合わせはこちら