Article Detail
IPA、「セキュリティ担当者のための脆弱性対応ガイド」などを公開
「セキュリティ担当者のための脆弱性対応ガイド」などを公開
〜「情報システム等の脆弱性情報の取扱いに関する研究会」2010年度報告書を公開〜
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、自組織に必要な脆弱性対策を推進するための「セキュリティ担当者のための脆弱性対応ガイド」や報告書など、「情報システム等の脆弱性情報の取扱いに関する研究会」の成果をとりまとめ、2011年2月28日から、IPAのウェブサイトで公開しました。
URL:http://www.ipa.go.jp/security/fy22/reports/vuln_handling/index.html
<概要>
IPAでは、昨年5月から開催してきた「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)の成果である「セキュリティ担当者のための脆弱性対応ガイド」や「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」、および研究会の2010年度報告書を公開しました。
■「セキュリティ担当者のための脆弱性対応ガイド」
これまでIPAでは、ウェブサイト運営者やウェブサイト構築事業者向けに脆弱性対応ガイド(*1)を公開してきましたが、企業等の組織におけるセキュリティ担当者への啓発も必要と考え、まずはその実態を把握するために、アンケートを中心とした調査を行いました。これは、脆弱性関連情報の届出制度である「情報セキュリティ早期警戒パートナーシップ(*2)」への届出が増加してきているなか、IPAからウェブサイトに脆弱性情報の連絡を取った際、セキュリティの責任者であっても脆弱性に関して理解が浅いことや、主業務との兼任でセキュリティ担当者をしているなど、脆弱性に対する認識が甘い、正しい知識が備わっていない、などのケースが見られたためです。
アンケートの結果、大企業と比較して中小企業では、被害経験が少ないため脆弱性対策の必要性を強く感じていないことが明らかになりました。また、運用中のウェブサイトの脆弱性対策に必要な契約と費用に関する質問では、脆弱性対策はウェブサイト運営委託先との契約に明記されていないが事実上委託費用に全て含まれているという回答が最も多く(外部委託している企業の3割)、増加する脆弱性の状況を考慮すれば、委託先の負担はバランスを欠いていると見ることもできます。
IPAではこれらの明らかになった点を踏まえ、組織内で脆弱性対策の知識を必要とするセキュリティ担当者を対象とした「セキュリティ担当者のための脆弱性対応ガイド」を作成しました。本ガイドでは脆弱性に起因するトラブルや影響の事例、事業者に委託する際の考え方などを含めた、全般的な脆弱性対策を解説しています。
具体的には、脆弱性に起因する代表的なトラブル事例を3ケースと、脆弱性対策項目として設計・開発・導入段階における対策を3項目、運用段階における対策を4項目、脆弱性の存在が判明した際の対処手順を2項目、業務委託に関する注意点1項目をそれぞれ掲載しています。
●トラブル事例
・事例1 ウェブサイトへの不正アクセスによる事業中断
・事例2 ウイルス感染が元で起きるウェブサイトの改ざん
・事例3 ウェブサイトへのフィッシング詐欺サイト設置
●対策項目例 ・ソフトウェア構成や変更状況の管理
・脆弱性情報の収集
・脆弱性検査の実施
・修正プログラム(パッチ)の適用
・契約時に合意すべき事項
など
※参考画像は、添付の関連資料を参照
本ガイドを読むことで、ウェブサイトに脆弱性を作り込まないための注意点や、脆弱性が判明した場合の適切な対処方法を知ることができます。
■「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」
IPAでは、2006年に啓発資料として「組込みソフトウェアを用いた機器におけるセキュリティ」を公開しましたが、公開後組込みシステムを取り巻く環境の変化や技術の進展などから、それを反映した改訂版を作成しました。
■「情報システム等の脆弱性情報の取扱いに関する研究会」2010年度報告書
詳細は別紙をご覧ください。
IPAとしてはこれらの資料が、企業等の組織にとって、脆弱性対策推進の参考となることを期待しています。
脚注
(*1)「ウェブサイト運営者のための脆弱性対応ガイド」、「ウェブサイト構築事業者のための脆弱性対応ガイド」
http://www.ipa.go.jp/security/vuln/index.html#guideline
(*2)ソフトウェア製品及びウェブアプリケーション(ウェブサイト)に関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。