日本セキュリティオペレーション事業者協議会(ISOG-J)は11月18日、「脆弱性トリアージガイドライン作成の手引き」の第2章以降を公開した。脆弱性診断士スキルマッププロジェクトで公開している。
同ドキュメントは、組織が脆弱性に適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付け(トリアージ)を行うために、その組織に適したトリアージガイドラインを作成するための手引きで、5月24日に第1章までを公開していた。
同ドキュメントの第2章以降では、主にトリアージの精度向上に関することを追記している。各章の内容は下記の通り。
・2章:トリアージの精度向上
脆弱性の影響範囲
脆弱性の前提条件
Exploitの流通状況
Exploitの実現性
・3章:トリアージに利用できるフレームワーク
CVSS
SSVC
EPSS
SBOM
CISA KEVカタログ
Risk Rating Framework: OWASP Risk Rating Methodology
・4章:トリアージ後の対応
修正コストについて
例外対応の想定
・5章:事例
脆弱性対応フローが明確化されていなかった組織事例
ビジネスインパクトを考慮した結果優先度が下がった事例
経営者の指示による優先度変更
・コラム
NVDの更新停滞
危険度がInfoの脆弱性の扱い方
・トリアージガイドライン【テンプレート】
