2018/06/18
イベント報告:脆弱性リスク管理セミナー ~セキュリティの課題-脆弱性の可視化と運用~を開催しました。山本 敏裕Toshihiro Yamamoto
こんにちは。リックソフトの山本です。
梅雨入り宣言の翌日は、毎年快晴になっている記憶があります。
今日は梅雨入り宣言の翌日。そして快晴。そんな日に「脆弱性リスク管理セミナー」が開催されました。
このイベントではセキュリティの課題である、脆弱性の可視化と運用を実現するツールとそのソリューションが紹介されました。
今回紹介されたツールは
上記の3つの製品です。
この3つのツールに共通していたことは「見える化、可視化」。
それぞれの得意分野は異なりますが、これだけは共通していました。
Jiraを既にお使いの方には一見、JIRAと脆弱性は直接関連がないかと思われるかもしれません。
Jiraはアドオンが豊富で、これを使ってアトラシアン製品以外のツールと連携することが可能です。
連携することで、上記の製品に脆弱性を診断させ、その管理をJIRAで行うことが可能となります。
本日は、その中からリックソフト株式会社が登壇したプレゼンをご紹介し、「脆弱性リスク管理」について皆様に少しでも参考になればと思います。
リックソフト株式会社 カスタマーサービス部 部長 大塚 和彦が登壇させていただきました。
脆弱性とは、パソコンやスマートフォンなどの端末などのOSやソフトウェアにおけるプログラムの不具合や設計上のミスが原因となって発生する情報セキュリティ上の欠陥のことをいいます。脆弱性はセキュリティホールとも呼ばれ、脆弱性が残された状態でパソコン等の機器を利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
脆弱性は一度対策を施せば良いということではなく、次々と新しい脆弱性が発見されたり、ウイルスなどが誕生していきます。そのため、次の対策をする。また新しいのが見つかる。これらの繰り返しになります。脆弱性は完全に対策を施すことが困難な状態です。これでは疲弊してしまいますね。そのため、これらを管理していくことが必要になってきます。
この脆弱性対応のポイントには、
といくつかありますが、これらを一言でまとめると、「継続的な改善を行うプロセス」が必要ということです。
そのためには「報告」、「連絡」、「相談」といったコミュニケーションを取り合い、連携できる環境が必要になってきます。
脆弱性は放っておくと被害が拡大します。そのために脆弱性診断を行うRapid7などのツールなどの導入によりリスクを軽減できます。ただし、診断するだけでなく継続的にコミュニケーションを図った取り組みを行うことがとても重要になります。
Atlassian製品の課題管理ツールであるJIRAと文書管理ツールであるConfluenceをこれらの脆弱性診断ツールを連携して運用すれば、継続的な脆弱性管理を実現できます。
下図は連携の一例になりますが、脆弱性を検知するとJIRAに課題として自動起票される例です。見つかった脆弱性はRapid7で診断を行い、再スキャン完了とならない限り、その脆弱性は対応済みとなりません。このように運用することで継続的な取り組みを実現できます。
また、jiraと連携することでメリットがあります。それは、
例えば、上図の「未対応」で良いと判断した場合、これを誰が承認したかといった履歴が残ります。Jiraにはコメント機能があるので、未対応と判断した場合は、理由を「コメントに記載して承認依頼をした」と残しておくことができます。後の判断の場面でも、思い出せなかったり、どこかに記入したけどその場所が分からない、といったこともなく、非常に効率よく判断ができるようになります。
Jiraって、どういうツール? Atlassian Jira Software
ここで、課題管理ツールであるJiraについて紹介させていただきます。
Jiraでは、プロジェクト内の作業(タスク)と不具合(バグ)を「課題」として管理し共有します。プロジェクト・チーム内で作業内容や進捗情報をリアルタイムに共有できます。
課題には説明や期限、担当者、優先度などの属性を登録でき、ファイルを添付することもできます。
ステータスにより各課題の進捗を管理し、課題の積み重ねでプロジェクトを管理することができます。
Jiraは豊富なレポート機能で、チームのメンバーが入力した課題の状況をリアルタイムに共有できます。
いちいち作成する必要がありません。これを利用すれば時間の短縮による効率化を実現できます。
Jiraは課題の属性で課題を素早く検索する事ができます。
検索条件を保存し共有する事もできます。それらを利用して課題の見得る化を実現できます。
この講演の資料は下記よりダウンロードいただけます。
Atlassian製品、Rapid7についてのご相談はリックソフトへお気軽にお問い合わせください。
アトラシアン社ではサポート範囲外となっているサードパーティ製のアドオンをリックソフトのRS標準サポートではサポートします。
リックソフトのRS標準サポートは開発元が提供するサポート以上の価値があります。
ツールを導入しただけでは成功とはいえません。利用者が効果を感じていただくことが大切です。独自で制作した各種ガイドブックはツール活用を促進します。
リックソフトからライセンス購入を頂いたお客様にはガイドブックを無料進呈いたします。
ツール操作の研修だけでなく「ウォータフォール型開発」「アジャイル型開発」のシミュレーション研修も提供。
日本随一の生産性向上にも効果のある研修サービスです。
リックソフトからライセンス購入を頂いたお客様には無料招待や割引特典がございます。