CROSS 2015のアンカンファレンスで話しました

CROSS 2015のアンカンファレンスで脆弱性の評価って困る、話をしました。
スタッフやりつつ、当日資料作りもやったので、あまり資料としての完成度はないです。
たぶんプレゼン作成時間30分くらい。

書いてある通りなのだけど、脆弱性とかセキュリティの話は、リスクが無限大に評価されがちに見えるのをどうにかしたい。
自分自身は何か情報系の教育を受けてきたわけでもなく、我流で対応しているのですが、未だに目安として定量的に判断する方法を持っていない。(ただしCVSSスコアを除く)。

会社としては、どんだけバズった脆弱性でも対応しないとなったら、説明責任があるので、そういうときに説明できるような基準を自分で持たないといけないな、と最近は思っているわけです。(話題になってないけど、対応した、みたいなのも、本当は理由をもっておくべきだけど、優先度は低いはず...。)
何か良い方針があれば、教えてください。

あと、最後のページに書いてある本を輪読会したいので、興味がある方がいれば、@_hitsumabushi_まで。
やるとしたら、平日は新宿・渋谷とかの辺が良いです。