@techreport{oai:ipsj.ixsq.nii.ac.jp:00217897,
 author = {與那嶺, 亮 and 鈴木, 聡 and 一井, 信吾},
 issue = {15},
 month = {May},
 note = {KEK ではこれまで 10 年以上にわたり，外部公開サーバの各機器管理者がアプライアンスを使用して脆弱性診断・自己点検を行える環境を整備してきた．自己点検を導入した当初はアプライアンスが高速スキャンをすれば DoS になり，低速であると時間がかかるため非同期バッチ処理のような操作が必要であること，また脆弱性の説明文が分かりくいなどの理由でそのままでは受け入れられづらい面があったためアプライアンスの直接操作させることは避け，独自の UI サーバを仲介して運用していた．10 年の間にアプライアンスの説明文も改善され，サイバーセキュリティに対する構成員への啓蒙も遙かにすすみ，説明文を直接管理者が読んでもほぼ問題が無い状態となったことから，2021年度からは各管理者がアプライアンスの直接操作を行う方式に切り替えた．これによりユーザが発見した脆弱性への対応が十分であったかのイテレーション操作が簡便になり，従来よりも短い期間での自己点検が完了できるようになった．本稿はこのワークフローの移行によって得られた知見についてまとめたものである．, For more than a decade, KEK has been developing an environment in which administrators who run public servers can perform vulnerability scans and self-inspections using an appliance. We had introduced our own UI server because firstly asynchronous batch processing was required at that time to avoid a DoS by a high-speed scan by the appliance, and secondly the vulnerability descriptions were difficult to understand and hardly acceptable. During the past 10 years, the issue on such descriptions have been improved, and also the awareness for cyber security among the administrators has been intensified. Now it seems the administrators can readily understand the descriptions directly provided by appliances, and in fact from FY2021 we have decided to make use of a UI of an appliance itself instead of using our own UI server. This made it easier for administrators to confirm whether discovered vulnerabilities were adequately addressed or not, and thus to shorten time of period for self-inspections than in the past. This paper summarizes the findings of this migration.},
 title = {KEKにおける脆弱性自己点検PDCAサイクル高速化},
 year = {2022}
}