tl;dr Vuls -> S3 -> Lambda -> EC2に深刻度をタグ付けしてみたよ 他にも強制的にパッチ当てるとかセキュリティグループ変更して隔離するとかConfig Rulesと連携するとか色々できそうだよね はじめに 日々発見される脆弱性の根本対策は、ソフトウェアアップデートです。1日に百万種類のマルウェアが作成されいてる現在、シグニチャベースのアンチウィルスやIDS, IPSを入れているから大丈夫、とは言い切れません。パッケージマネージャの自動アップデート適用が可能であれば楽なのですが、アップデートが原因でサービス停止するリスクを恐れて手動アップデートで運用するケースが多く見受けられます。手動アップデートでの運用は非常に運用コストがかかります。運用者はJVNやNVDなどで日々情報収集をして、日々発見される脆弱性が自分の管理するどのサーバに該当するのかを判断しなければなりま
