SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

読み解くのに気力と体力が必要なセキュリティレポート ポイントを絞り、効率よく取捨選択するには

OT/IoT系のセキュリティレポートから見る、欲しい情報を取得・分類する方法

 前回の記事では「セキュリティレポートの全体像」と題して、まずは世の中に出回っているセキュリティレポートを発刊している組織と内容ごとに分け、体系的に整理した上で、部門ごとにどう活用できるのかをまとめていきました。今回は弊社が2023年2月15日に発刊した『State of XIoT Security: 2H 2022』をレポートの題材として、実際に読み解いていきたいと思います。

見出しから、自分のほしい情報に注目する

 前回の記事ではレポートの種類を5つに分類してみました。今回取り上げるレポートは、その中でも「脆弱性動向分析」に該当するレポートです。弊社のレポート『State of XIoT Security: 2H 2022』の最初にある目次(Table of contents)を引用しながら、まず全体像について把握してみましょう。

画像クリックで拡大
画像クリックで拡大
  1. EXECUTIVE SUMMERY(サマリ)
  2. INTRODUCTION(イントロ)
  3. TEAM82(クラロティの研究機関Team82による成果)
  4. XIOT VULNERABILITY ASSESSMENTS(XIoTの脆弱性評価結果)
  5. IMPACT(影響)
  6. MITIGATIONS/REMEDIATIONS(緩和と修復)
  7. TRENDS TO WATCH IN 2023(2023年のトレンド予測)
  8. RECOMMENDATIONS(推奨事項)
  9. ABOUT THE STATE OF XIOT SECURITY REPORT(このレポートについて)

 項目の9番目「このレポートについて」は、読もうとしているレポートの正体を把握するための項目であり、このレポートの目的やどのような組織が書いているかを知ることができます。

 脆弱性レポートの大まかな構成としては以下の表のような構成になっていることが多く、今回のレポートに含まれる内容を分類していくと次のようになります。

エグゼクティブサマリー

1.EXECUTIVE SUMMERY(サマリ) 

脆弱性の

調査統計

2.INTRODUCTION(イントロ)
3.TEAM82(クラロティの研究機関Team82による成果)
4.XIOT VULNERABILITY ASSESSMENTS(XIoTの脆弱性評価結果)
5.IMPACT(影響)
6.MITIGATIONS/REMEDIATIONS(緩和と修復)
インサイト 7.TRENDS TO WATCH IN 2023 (2023年のトレンド予測
まとめ

8.RECOMMENDATIONS(推奨事項)

 項目9については、レポートの趣旨を説明するための補足項目として捉えられるため、この関連付けからは外しています。なお今回のこのレポートのまとめとしては、以下のことが読み取れます。

画像クリックで拡大
画像クリックで拡大
  1. XIoTベンダー自身によるセキュリティ・安全性評価が活発になっている
  2. 脆弱性のうち62%はパデューモデルレベル3のデバイスに関連している
  3. 脆弱性のうち71%はスコアが「重要」または「高」と評価されている
  4. 脆弱性のうち63%はネットワーク経由のリモート攻撃を可能にする

 アウトプットありきで読むとサマリーを読んでいる時に情報を拾いやすくなるため、事前に「このレポートのサマリーから、3つのポイントを書き出そう」などといった目標を定めることが重要です。その上で、まとめからより詳細の内容を知りたい場合は、該当するセクションに読み進めるとより理解が深まるでしょう。

次のページ
脆弱性数の発表数と分析に着目してみる

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加藤 俊介(シュンスケ カトウ)

国内大手化学メーカーにて計装機器・制御システム設計エンジニアとして3年、海外大手制御機器メーカーにて安全計装システムのエンジニアとして4年、国内外の産業システムに係るプロジェクトに従事。また2021年8月から産業サイバーセキュリティのプロジェクトも担当。2022年5月から現職。製造業、医療業界向けの...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17678 2023/05/19 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング