検知(Discovery)
脆弱性情報収集チャネルの整備
- 脆弱性報告受領:コンタクトポイント/報告方法/暗号化方法の明示、報酬プログラム設定
- 脆弱性情報モニタリング:製品コンポーネントの把握、外部情報モニタリング手法の確立、セキュリティカンファレンスなどでの情報収集
- 内部プロセスでの検知:SDLC内のプロセス構築、第三者評価手法の整備
分類・分析(Triage & Analysis)
脆弱性トリアージ方法の明確化
- 脆弱性判定基準の設定と継続的改善:過去事例/業界ベストプラクティス/ステークホルダーからのフィードバックなどの反映
- 分類プロセス効率化:継続的に品質の高い報告を行う専門家の特定とデータベース化
- 再現性確認:専門性の確保(SLAなど)、テスト環境の整備、再現ツールの活用
対応・改修(Remediation)
セキュリティ改修のデリバリ管理とインシデント対応プロセス整備
- 改修デリバリ管理:セキュリティ改修の対象/スケジュール/配布方法などの整理
- インシデント対応:インシデント発生時の対応迅速化プロセスの整備、コミュニケーションプラン(情報配信先・チャネル、経営層への報告プロセス)整備
公開(Disclosure)
関係各社間の透明性・連携関係の構築と公開計画の策定
- 事前通知:関連ベンダー/コオーディネーター/発見者に対する適切な通知プロセス整備
- 公開:他のベンダーや外部SIRTとの連携した公開、公開と同時にセキュリティアップデートが必要なステークホルダーに通知されるよう適切な公開方法の整備