“脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”

先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 2022年10月末、多くのシステムで利用されるオープンソースソフトウェア（以下、OSS）「OpenSSL」に大きな動きがありました。OpenSSLプロジェクトは同年11月1日に“緊急”レベルの脆弱（ぜいじゃく）性対応を含むバージョンアップを予告したのです。この時点で詳細は明らかにされていなかったものの、予告するほどの脆弱性対応が含まれることから“準備を万全に整えてほしい”という意図がうかがえました。 そして予告通り、2022年11月1日には「CVE-2022-3602」と「CVE-2022-3786」に対応したバージョンであるOpenSSL 3.0.

[nisisinjuku]

３年ぶりに誇り叩いて再起したシステムが直面したのはこの積もり積もった「脆弱性対策」だったっす。他にも色々問題あったけどなんとか凌ぎ中。