無意識に判断している内容ですが、きちんと系統立てて説明して適用方針を立てるのが管理者の役目なんですよね。。。。出来てないけど。

まずは、情報の種類を見極めること。例えば、事前のコーディネーションに基づいて、修正パッチや対策情報とともに公開されている情報なのか、それとも発見者がいきなり公開してしまったゼロデイ型の情報なのか、あるいはインシデント後に手探りで対策をしなければならないターゲット型攻撃の情報なのか。同じゼロデイ型にしても、脆弱性情報のみなのか、それとも攻撃につながるExploit Codeが出現しているのかどうかによっても対応は変わってくる。

2つめは、優先順位付けだ。「まず、管轄のソフトウェアかどうかというところから絞り込みをしていくといい」と宮崎氏。その前提として、あらかじめ自分が管理しているソフトウェアのリストを作成しておくと有用だという。さらに、ソフトウェアの重要度も基準の1つになる。そのソフトウェアではどういったサービスを、誰に対して提供しているのかといった情報を元に、重要度を判断する。

3つめは、対応時間と方針の決定だ。それには、1つめで挙げた「情報の種類」が大きく影響してくる。ゼロデイ型の情報であれば、可能な限り速やかな対応、できればその日のうちに何らかのアクションを取ることが望まれるし、逆に攻撃が検出されていないときは比較的余裕がある。何らかの回避策で臨時対応するのも一つの手だという。

最後は、その対策を実施することによって、どんなインシデントが生じるかを事前に把握――少なくとも予測しておくことだ。