1. 導入:なぜ脆弱性管理に「組織構造」の視点が必要か
多くの企業において、脆弱性管理の最大の壁は「担当者の不在」や「管理の属人化」です。単にツールを導入するだけでは、部署ごとのパッチ適用状況がバラバラになり、組織全体のリスクを俯瞰できません。本稿では、セキュリティ運用の成熟度を高めるために不可欠な「3階層管理」という考え方と、実務で役立つPythonを用いた脆弱性集計の自動化手法について解説します。
2. 基礎知識:脆弱性管理における「3階層管理」とは
「3階層管理」とは、全社的なガバナンスを維持しつつ、現場の自律的な運用を両立させる仕組みです。
・第1階層(全社・経営層):グループ全体のリスク状況を可視化し、優先順位や予算を決定する。
・第2階層(部門・プロジェクト):特定のサービス単位で脆弱性を特定し、エンジニアへの修正指示を行う。
・第3階層(個別のシステム・アプリケーション):CI/CDパイプラインやライブラリ単位で、具体的な修正作業(パッチ適用)を実行する。
この階層構造を意識することで、セキュリティ担当者が「どの部署が、どの程度のリスクを抱えているか」を即座に把握できるようになります。
3. 実装/解決策:APIを活用した脆弱性情報の集計自動化
実務では、ツール上のデータを定期的に抽出し、組織階層ごとに「未対応脆弱性の数」をレポートすることが重要です。以下は、脆弱性管理ツールから取得したJSONデータを読み込み、部署ごとにリスクを算出するPythonスクリプトの例です。
4. サンプルプログラム
脆弱性データを部署ごとに集計するサンプルプログラム
import json
ツールから取得した脆弱性情報のリスト(想定)
vulnerability_data = [
{“project”: “決済システム”, “dept”: “開発1部”, “severity”: “critical”},
{“project”: “社内ポータル”, “dept”: “開発2部”, “severity”: “medium”},
{“project”: “決済システム”, “dept”: “開発1部”, “severity”: “high”},
]
def analyze_risk(data):
# 部署ごとの脆弱性カウント用辞書
report = {}
for item in data:
dept = item[“dept”]
# 部署ごとのリスク状況を初期化
if dept not in report:
report[dept] = {“critical”: 0, “high”: 0, “medium”: 0}
# 重大度に応じてカウントアップ
severity = item[“severity”]
if severity in report[dept]:
report[dept][severity] += 1
return report
集計実行
result = analyze_risk(vulnerability_data)
結果の表示(実務ではこれをCSV出力してSlack等で共有する)
for dept, stats in result.items():
print(f”部署名: {dept} | 深刻な脆弱性件数: {stats[‘critical’]}”)
5. 応用・注意点:現場で陥りやすいバグと回避策
・「脆弱性の数」に踊らされないこと:
件数だけを追うと、重要度の低い大量の警告によって、本当に急ぐべき「Critical(致命的)」な脆弱性が見落とされます。常に「深刻度」でフィルタリングする仕組みを徹底してください。
・チャタムハウスルールの活用:
脆弱性管理の会議では、部署間の対立を避けるため「チャタムハウスルール(情報は共有してよいが、発言者を特定して外部に漏らさない)」を導入することを推奨します。これにより、現場のエンジニアが「なぜ修正が遅れているか」という真因(リソース不足や技術的な困難さ)を率直に共有しやすくなります。
・自動化の落とし穴:
API連携を自動化する際は、必ず「検知漏れ」がないか定期的な手動チェックを行ってください。ツールを過信せず、あくまで「セキュリティの羅針盤」として運用を支える手段として活用することが重要です。
コメント