脆弱性の早期検知と管理を内製化してみた

この記事は MICIN Advent Calendar 2023 の7日目の記事です。 前回は木南さんの『技術強化委員の取り組み』でした。 皆さんの組織では社内IT資産の脆弱性の情報収集や管理、どのように行っていますでしょうか？有償の脆弱性管理ツールを活用している組織もあれば、そういったツールを使用せずに深刻な脆弱性が広く知られるようになってから対応を検討する組織もあるかもしれません。今回は株式会社MICIN社内におけるIT資産（コーポレートIT＆プロダクト）の脆弱性の早期検知と管理の内製化に焦点を当て、情報セキュリティ部の高橋がその取り組みについてご紹介します。 脆弱性管理システムの狙い MICINでは2023年の1月から9月にかけて「脆弱性管理システム」の構築を進め、現在は改良を重ねながらシステムを使用した脆弱性検知・管理を運用しています。このシステムでは、一次情報を情報源として活用し

[ironman42195]

ここまでできてるのはすごい

[manimoto]

脆弱性検知すると自動的にチケット起票されるの普通に製品化できそう。/各所のAPIから情報収集してるLambdaのコード気になる。