前編 では、PSIRT のステークホルダ マネジメントについて、紹介しました。今回は PSIRT の実業務である、脆弱性を発見すること、脆弱性をトリアージと分析することについて紹介します。P本の日本語版は こちら です。 前編はこちらです↓ 脆弱性の発見脆弱性を攻撃者にみつけられ攻撃される前に、発見し対応することが製品のセキュリティ対策として重要です。どのように脆弱性を発見するのかサービス エリア 2 では、発見方法が記載されています。 窓口を準備する脆弱性を発見したセキュリティ研究者が迷わないよう、窓口を準備しましょう。窓口は、メールアドレスや Webフォームなどが考えられます。別の窓口(例えば、お客様窓口など)から連絡が来ることもあるので、PSIRT にエスカレーションされるようにしましょう。また、提出様式を定めておくことで、レポートを品質を保つことができます。(質の低いレポートは再現
![製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(中編)|サイボウズのセキュリティ室](https://cdn-ak-scissors.b.st-hatena.com/image/square/17b7b67f306fa9f2bbf41ddf1dbf4843ec669814/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F96519174%2Frectangle_large_type_2_feb6c00d7a56febaf7d3cb55f5cdb09c.png%3Ffit%3Dbounds%26quality%3D85%26width%3D1280)