日本電気株式会社(NEC)は6月12日、脆弱性対応の期限と優先度についての解説記事を同社セキュリティブログで発表した。宇井哲也氏が執筆している。
同ブログでは、主要な公開文書をもとに、脆弱性対応の期限と優先度についてどのように考えられているかを整理し、複数の視点から考察している。
同ブログで、脆弱性対応の期限が議論される背景の一つとして、脆弱性の報告件数が年々増加していることと、公表された脆弱性が実際の攻撃に使われる事例が継続的に報告されていることを挙げ、脆弱性対応の期限を一律の日数だけで決めるのが難しい場面が増えていると指摘している。
また、主要な公開文書で脆弱性対応の期限をどのように捉えているのかを表として整理した上で、「全ての脆弱性に共通する一律の期限」を示すというより、リスクに応じて優先順位を付けて対応する考え方が中心であると俯瞰し、一律の外部基準が少ないからこそ、各組織は自分たちの運用に合わせて脆弱性対応の期限を設計する必要があるとしている。
宇井氏は、脆弱性対応の期限を設計する際の要点を運用視点、SIer視点、ユーザ企業視点の3つに分けて整理し、それぞれ平時から検討すべき内容について説明を行っている。
