Guidance on developing vulnerability triage guidelines.
本ドキュメントは「組織が脆弱性に適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付け(トリアージ)を行うために、その組織に適したトリアージガイドラインを作成するための手引き」です。
組織においてセキュリティ対応を行うためのリソースは限りあるものです。 そのため、発見されたすべての脆弱性に対応できるとは限りません。 限りあるリソースを最大効率で活用するためには、適切に優先順位を付けて対応していく必要があります。
本ガイドラインは現時点(2024年5月24日)で第1章までの公開となっております。
第1章では、対応基本方針の策定について説明しています。 この段階でのトリアージ基準は、高い専門知識を持っていない人でも判断できる程度の基準にとどめています。 それにより迅速に優先順位付けができるようになり、また優先度について関係者全体の意識をある程度揃えることができます。 ただし、簡易的な判断基準であるため、攻撃による実際のリスクとの乖離がある可能性があります。 トリアージの精度向上について記載した第2章以降は今後執筆予定です。
本ガイドラインの第1章を使用して作成したサンプルのガイドラインは下記になります。 テンプレートなどにご活用下さい。
