Shikata Ga Nai

Private? There is no such things.

脆弱性評価前のチェックリストについてとりあげてみた

Hello there, ('ω')ノ

 

ネットワークの脆弱性評価をする前の準備として。

顧客と複数にわたって会議をする必要があって。

顧客要件のチェックリストの一例としては以下のようなものが考えられており。

 

 ・顧客が遵守したいセキュリティコンプライアンス

 ・セキュリティコンプライアンスに記載されている要件と行動規範(ある場合)

 ・スコープ内のネットワークセグメントのリスト

 ・ネットワークセグメント内のネットワークセキュリティデバイスのリスト

 ・スキャンする資産リスト(IP範囲と共に)

 ・パブリックネットワークに公開されている資産リスト(IP範囲と共に)

 ・ネットワーク全体にアクセスできる資産リスト(IP範囲と共に)

 ・ビジネスクリティカルな資産のリスト(IP範囲と共に)

 ・顧客の環境で受け入れ可能な脆弱性評価ツールのリスト

 ・顧客から提案されたツールのライセンスの可用性

 ・顧客の環境で厳しく禁止されているツールのリスト

 ・最新の脆弱性評価レポート(入手可能な場合)

 

Best regards, (^^ゞ