脆弱性開示プログラム(VDP)を開始する準備ができているかどうかを確認するにはどうすればよいですか。VDP を導入する前に実施すべき 重要な評価がありますこれらの評価により、インフラストラクチャのギャップを特定し、着信するバグレポートに備えることができます。VDP を適切に実装すると、安定した報告が得られます。チームが追加のワークロードに対して準備ができていない場合は、新しいプログラムによって、セキュリティは強化されず、悪影響が生じる可能性があります。セキュリティ プログラムを評価してギャップを特定して対処することで、VDP のスループットを処理する能力を向上させることができます。報告された脆弱性に迅速に対応することで、ハッキング コミュニティとの関係が改善し、より健全なプログラムが実現します。
基本的なセキュリティの健全性
組織のセキュリティ成熟度や利用可能なリソースに関係なく、現在のセキュリティの健全性を評価することが、ギャップを特定する最善の方法です。以下では、バグの発見、バグの修正、根本原因の分析、検出と対応、セキュリティ文化など、見過ごされがちな重要な分野で潜在的なギャップを特定する方法について説明します。
バグの発見
VDP の立ち上げ準備を行う際は、チームが環境内の脆弱性を特定するために使用している方法を評価することが重要です。VDP の開始に対する評価と準備の一環として、脆弱性の検出と修正を最初に行う必要があります。
この操作を行わないと、VDP のリリース時に脆弱性レポートが急増して、チームに負担がかかる可能性があります。基本的な脆弱性スキャンとセキュリティ レビュー プロセスを設定することで、セキュリティの問題に対処するための堅牢なプロセスを確立できます。VDP を開始すると、受信した脆弱性レポートに対応できるようになります。
バグの修正
脆弱性を見つけるだけでなく、脆弱性をタイムリーに修正するために、明確に定義されたプロセスとリソースが必要になります。バグを見つけただけでは不十分で、セキュリティはバグが修正された場合にのみ改善されます。脆弱性管理のプロセスとリソースを用意するか。セキュリティに関して、貴組織の文化はどのような感じでしょうか。セキュリティ チームは、否定的な意見、阻害要因、エンジニアリングの側にあるとはいえませんか?それとも、共同作業のパートナーと見なされていますか?脆弱性の修正の優先度重大度と修復のタイムラインに関して 共通の用語や理解はありますか?特定された脆弱性を修正するオーナーを見つけるのは難しいと感じますか、それとも簡単と感じますか。特定された脆弱性に関する指標(修正にかかる時間を含む)を追跡していますか。貴組織には資産インベントリがありますか?それとも、遠い未来の夢でしょうか?繰り返しになりますが、この問題にかなり自信があり、重大なバグを迅速に修正できることを十分に理解し、脆弱性の修正を担当するチームや個人と強固な関係を築き、セキュリティ バグのストリームをスムーズに処理するためのリソースを用意できれば、順調に進んでいます。それ以外の場合は、次の章で脆弱性管理プログラムを適切に実装する方法について説明します。いずれの場合も、VDP から受け取る新しいバグのストリームを処理できるように、堅実な脆弱性管理プラクティスを確立する必要があります。これにより、特定された脆弱性にタイムリーに対応します。
根本原因の分析
バグを 1 回限り検出して修正する運用作業以外に、問題の根本原因分析(RCA)を行い、環境に脆弱性が生じた体系的な原因を特定するか。バグをすばやく見つけて修正できることはすばらしいことです。ただし、VDP を成功に導くには、そもそもこれらのバグがどのように現れるかを特定できる必要があります。これには、次のようなさまざまな形式があります。
- アプリケーション セキュリティの脆弱性がどのように生じたかの特定。
- デベロッパーは、脆弱性が導入されるリスクを軽減する共通のライブラリとフレームワークを使用しているか。
- データの分析と傾向の特定。
- 特定のチームが管理しているインフラストラクチャにセキュリティ アップデートのパッチが適用されていないことに気付いたことはありませんか?
- セキュリティ インシデントまたはセキュリティ侵害。
- 今後同じ過ちを犯さないために、すべての関係者と事後検証を実施して、何が起きたのか、その理由を分析したうえで、そこから学びます。
RCA を実行しないと、VDP の同様のバグレポートを多数処理して、多大な労力が無駄になる可能性があります。今後、脆弱性報奨金プログラムを開始する場合、RCA がないことは組織に経済的影響も及びます。次の章では、RCA プロセスと事後分析の文化の実装方法についての具体的なアドバイスを紹介します。
検出と対応
アセットをハッキングするよう外部の研究者を招待すると、検出と対応のメカニズムに影響します。侵入検知/防止システムを導入している場合は、セキュリティ研究者に実施するテストの種類を検討する必要があります。これらの自動防御システムの「背後にある」脆弱性を発見するために、例外を作成するか。土曜日の午前 2 時に、10 人の研究者全員が外部向けアセットの脆弱性スキャンを開始すると、セキュリティ チームはアラームを鳴らすことができるでしょうか。セキュリティ研究者からの正当なテスト トラフィックと、システムに対する実際の攻撃の可能性をどのように識別するか。セキュリティ研究者が自社のシステムに対してテストして生成したデータを活用する方法を知っているか。セキュリティ研究者がユーザー名とパスワードを総当たり的に推測しようとした場合、実際のユーザーがロックアウトされる可能性がありますか?VDP を開始する前に、これらすべての側面を検討する必要があります。セキュリティ研究者に対して、テストに問題がないかどうかの見通しを明らかにして、既存の検出メカニズムとレスポンス メカニズムの構成方法を決定する必要があります。次の章で これにアプローチする方法を詳しく説明します
セキュリティ文化
組織内の文化は、VDP の開始と維持に大きな影響を与えます。一歩引いて、このイニシアチブに参加する必要がある主要な関係者と、彼らと情報セキュリティ チームとの既存の関係を理解することは有益です。さまざまな関係者と、脆弱性開示プログラムの開始の提案に対する対処の見通しに基づいて、このコンセプトに同意するよう説得するための方法と資料を特定する必要があります。参加していない主要な関係者の 1 人が、VDP の開始を妨げる可能性があります。