IPA、「セキュリティ担当者のための脆弱性対応ガイド」などを公開


 IPA(独立行政法人情報処理推進機構)は2月28日、「セキュリティ担当者のための脆弱性対応ガイド」「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」をIPAサイトで無償公開した。

 今回公開した脆弱性対応ガイドなどは、昨年5月から開催してきた「情報システム等の脆弱性情報の取扱いに関する研究会」の成果をまとめたもの。研究会の2010年度報告書も合わせて公開している。

 「セキュリティ担当者のための脆弱性対応ガイド」は、これまでIPAはウェブサイト運営者・構築事業者向けの脆弱性対応ガイドを公開してきたが、今回は組織内で脆弱性対策の知識を必要とするセキュリティ担当者を対象としてガイドを編纂した。

 IPAでは、ガイド作成に先だってアンケートを中心とした実態調査を実施。その結果、大企業と比較して中小企業では、被害経験が少ないため脆弱性対策の必要性を強く感じていないことが明らかになった。また、運用中のウェブサイトの脆弱性対策に必要な契約と費用に関する質問では、「脆弱性対策はウェブサイト運営委託先との契約に明記されていないが事実上委託費用に全て含まれている」という回答が最多で、外部委託している企業の3割に上った。

 IPAではこれらの点を踏まえ、「セキュリティ担当者のための脆弱性対応ガイド」を制作。脆弱性に起因するトラブルや影響の事例、事業者に委託する際の考え方などを含めた、全般的な脆弱性対策を解説した。

 具体的には、脆弱性に起因する代表的なトラブル事例を3例、脆弱性対策項目として設計・開発・導入段階における対策を3項目、運用段階における対策を4項目、脆弱性の存在が判明した際の対処手順を2項目、業務委託に関する注意点1項目をそれぞれ掲載した。

 「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」は、2006年に公開した初版に、その後の組込みシステムを取り巻く環境の変化や技術の進展などを反映して改訂版として作成、公開した。

 

関連情報