シフトレフトという言葉が聞かれるようになって久しいですが、実際に運用できているという話はあまり聞かれません。要因の一つとして、検知される脆弱性の数が多すぎて、たとえセキュリティチャンピオンを配置しても簡単に対処できないことが指摘されます。また、多くのスキャナが出力するCVSSセベリティは、単体ではリスク評価とならず、本来対処が必要な脆弱性にフォーカスできない課題も指摘されます。本セッションではリスクベースの脆弱性トリアージやその自動化を実現するLeanSeeksを、デモを交えて解説します。

昨今増え続ける脆弱性の対処は、たとえ開発チームにセキュリティチャンピオンを配備しても簡単にまわらないレベルまで達しています。運用しているシステムでも、日々新たな脆弱性が検知され、対応の必要性の検討に時間をとられてしまい、本来の業務に支障をきたすといった話がよく聞かれます。すべての脆弱性に対処するのが難しい中、どの脆弱性に対処するかを絞り込むトリアージ作業は非常に重要なポイントです。CVSS（共通脆弱性評価システム）のセベリティで判断するケースもありますが、比較的低いセベリティの脆弱性が攻撃に利用されている事実も確認されており、どのようにトリアージを行うべきかの判断基準に迷うシーンも多いです。本セッションではリスクベースの脆弱性トリアージの考え方の解説と、その作業を自動化するソリューションを紹介します。