脆弱性が発生したときの調査

スポンサーリンク
普段からセキュリティチェックをするということはあまりせず、脆弱性情報が出たら影響範囲や対象有無を判断する。という俺による俺のための脆弱性判断メモ。

この記事に載ってる大体はここに書かれている。

qiita
自分に必要な情報だけ抜き出した。

情報先

CVE
最も有名な脆弱性サイト
CVE番号で評価
National Vulnerability Database
CVEが公開した脆弱性情報を詳細に扱うサイト。

  • CVEからもリンクされてる。
  • アメリカ政府機関のNIST。govドメイン。
  • CVSS(Common Vulnerability Scoring System)によって危険度の評価
    • CVSSv2は、ホストはシステム単位で評価
    • CVSSv3は、コンポーネント単位で評価
      • v3は仮想化とかサンドボックスが普及してきてるからできた

JVN – Japan Vulnerability Notes
日本の脆弱性情報データベース
JVN iPedia
日本における脆弱性情報の 速報性 を特に重視している
パッと見で、脆弱性の深刻度がわかりやすい
JPCERT/CC
情報セキュリティ – IPA

ベンダー系セキュリティブログ

トレンドマイクロ
トレンドマイクロ製品がある場合は、トレンドマイクロ製品での対応方法が書いてある
セキュリティ:脆弱性情報ブログ – サイオス

twitter

サブ的な感じ。普段からは見ないから、ノイズ多いし目的からは外れてるけど一応載せとく。
カレーイベントポータルさんの、セキュリティ担当になったらフォローすべきtwitterアカウント

お国関係の仕事してると情報が流れてくるところ

NISC(内閣府サイバーセキュリティセンター)

ここは情報を調べるとこじゃねえな。

ただ、情報元になるってだけ。

コメント