wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

追記:マネジメント側で出来る最大の対処

「(3)イ 脆弱性情報等に関する情報のエスカレーションプロセスの策定」の後にも考えるべきことが2つあった。
それは、「深刻な脆弱性保有するシステムに対する『システム停止を含む緊急対応』の事前策定と関係者間の合意」と「策定したプロセスが機能することの確認」。
脆弱性」が発見され、「即インシデントに発展する危険性の高い脆弱性である」ことがわかった場合に、システムに対する措置を遅滞なく行うことが必要なわけだが、この話を「都度協議の上で行う」とした場合、まず間違いなく「意思決定→通達→対処」というプロセスを踏むことになる。
しかし、このプロセスにかかる時間すらも惜しい(何もしないで攻撃される危険性が高くなる)場合には、緊急避難的な対処を行うことになる。
このような対処を行う基準を策定し、関係者間で合意を取るのが、マネジメント側が行える(というかマネジメント側が行わなければならない)最大の対処の1つであろうと考える。

あとは、「策定したプロセスがきちんと機能するかどうか?」の確認が必要である。このために机上検証が必要であることはもちろんのこと、関係者が参加しての「訓練」が有効である。