脆弱性開示プログラムを開発する

脆弱性管理に対するdefense-in-depthアプローチとして、組織内外のユーザーがセキュリティの脆弱性やリスクを報告できるように、脆弱性開示プログラムを作成します。

組織内のユーザーには、リスクや脆弱性を送信するプロセスを確立します。これは、チケットシステムまたは E メールで行うことができます。選択したプロセスにかかわらず、従業員がプロセスを認識し、発生した脆弱性やリスクを簡単に送信できることが重要です。

組織外のユーザーには、潜在的なセキュリティ脆弱性を送信するための外部ウェブページを確立します。例として、AWS 「脆弱性レポート」ウェブページを参照してください。このウェブページには、組織のデータとアセットを保護するための開示ガイドラインも含まれています。脆弱性開示プログラムは、潜在的に有害なアクティビティを奨励すべきではないため、ガイドラインを含む明確なポリシーを持つことが不可欠です。成熟した責任ある開示プログラムの構築は、プログラムが成熟するにつれて が目指す目標です。ほとんどの は外部開示プログラムから始まるのではなく、それを正しく行うのに時間がかかります。