その脆弱性調査は本当に必要？トリアージの自動化方法教えます！

シフトレフトという言葉が聞かれるようになって久しいですが、実際に運用できているという話はあまり聞かれません。要因の一つとして、検知される脆弱性の数が多すぎて、たとえセキュリティチャンピオンを配置しても簡単に対処できないことが指摘されます。また、多くのスキャナが出力するCVSSセベリティは、単体ではリスク評価とならず、本来対処が必要な脆弱性にフォーカスできない課題も指摘されます。今回はリスクベースの脆弱性トリアージや自動化ツールを、デモを交えて解説します。

Minehiko Nohara

登壇者プロフィール

Minehiko Nohara

株式会社マクニカ

エンジニア

@minepicco

minepicco

2006年にマクニカグループに入社以降、ソフトウェア開発と運用、仮想化プラットフォームなど、様々な分野の業務に携わってきました。2015年ごろからはコンテナプラットフォームやコンテナセキュリティ、AppSecなどモダンな開発環境にかかわる製品に携わる業務を行っています。