概要SSVC で Deployer Tree を使う際に、HUMAN IMPACT の設定に戸惑うことが多いと思います。SSVC の定義上でも、複雑なので詳細が避けられているように見えます。 また、実運用上でも「脆弱性ひとつずつ」HUMAN IMPACT を定義することは難しく(脆弱性毎に定義をすることになる)、何らかの標準化が必要となります。 本記事では、SSVC の定義上での HUMAN IMPACT について確認し、実運用上のHUMAN IMPACTの定義で利用できそうなフレームワークをご紹介します。 Exective summary本来的に HumanImpact は、Situated Safety Impact と Mission Impact をもとに考えるのが良いと思われています。 しかしながら現時点の SSVC の考え方では、実装の簡素化のため、Mission Impact
2024年8月20日に開催された「Vuls祭り#10 | 脆弱性管理の最前線〜リスク評価からSSVC、VEX、AIまで〜」のセッション「「残業? 来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ 」の要点を書き起こた記事です。 YouTubeアーカイブはこちらです。 会場への質問 先日IPAの中核人材育成プログラム 卒業プロジェクトから、「脆弱性対応におけるリスク評価手法のまとめ」という資料が公開されました。この資料は本日紹介するSSVCやEPSS, KEVなどが日本語でわかりやすく説明されており、またトリアージについていくつかの方法が記載されているので一読をおすすめしますが、この中でこの図の通り60社への企業にアンケートを取っています。 意外におもったのが、CVSSの環境評価基準を60社中15社も使っている点です。私は2016年にVulsを開発して以降脆弱性管理をテーマに活動
これは情シスSlackアドベントカレンダー#1の19日目の記事です。 https://adventar.org/calendars/5390 今回は情シス業務に役立つアプリについて紹介します。 紹介するアプリは下記4点です。 細かい使い方は省略してここではざっくり紹介します。 興味を持たれた方はググって詳しい記事を読んでみてください。 【ブックマーク管理アプリ】toby 【パスワード管理アプリ】bitwarden 【メモアプリ】Dynalist 【スニペットアプリ】Alfred4 【ブックマーク管理アプリ】toby こんな感じです。 新規タブにページリンクをまとめて管理してセクションわけできるChromeのプラグインです。 入れておくと捗るページ 進行中のプロジェクトのwikiページ GASとかスクリプトの書き方についてのネット記事ページ メールやカレンダーなど社内ツールのページ 業務手順
情シスは1人じゃない コーポレートエンジニアや情報システムに興味のある人同士の情報共有、相談等を目的としています。 現在4000名を超える参加者が集い、PCの箱の処分方法から最新のセキュリティ技術まで、情シス特有の知見や悩みなど生の声を共有しています。 スタンプを付ける、シェアする、繋がる、質問する、答える、など。自由に情シスSlackを活用し楽しんでください。 ・相手の同意を得ていない状態でDM、資料の送付等での営業活動はお控えください。 ・自社サービスの宣伝はお控えください。ただし、自社サービスだとしても情シス業務に関連するようなプロダクト(コミュニティ内で話にあがる分野、製品)についてはOKです。 詳しくは 情シスSlackに参加後、# all-readmeをご覧ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
