ゼイタックス

セキュリティ担当者のための脆弱性対応ガイド公開

経営関連情報 - 2011年03月09日

 IPA(情報処理推進機構)はこのほど、自組織に必要な脆弱性対策を推進するための「セキュリティ担当者のための脆弱性対応ガイド」をまとめ、IPAのウェブサイト(URL:  http://www.ipa.go.jp/security/fy22/reports/vuln_handling/index.html )に公開した。これは、昨年5月から「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久中央大学教授)において検討を重ねてきたもの。

 これまでIPAでは、ウェブサイト運営者や構築事業者向けに脆弱性対応ガイドを公開してきたが、企業等の組織におけるセキュリティ担当者への啓発も必要と考え、実態把握のためのアンケート調査を実施。これは、脆弱性関連情報の届出制度である「情報セキュリティ早期警戒パートナーシップ」への届出は増えているものの、セキュリティの責任者でも脆弱性への理解が浅く、脆弱性に対する認識が甘い、正しい知識が備わっていない等のケースが見られたため。

 アンケートの結果、中小企業では被害経験が少ないため脆弱性対策の必要性を強く感じていないことが判明。また、運用中のウェブサイトの脆弱性対策に必要な契約と費用に関する質問では、脆弱性対策はウェブサイト運営委託先との契約に明記されていないが、事実上委託費用に全て含まれているという回答が最も多く(外部委託企業の3割)、増加する脆弱性の状況を考慮すれば、委託先の負担はバランスを欠いているとみることもできる。

 調査結果を踏まえ、セキュリティ担当者向けの「セキュリティ担当者のための脆弱性対応ガイド」を作成、事業者に委託する際の考え方などを含めた全般的な脆弱性対策を解説している。具体的には、脆弱性に起因する代表的なトラブル事例3ケース、脆弱性対策項目として設計・開発・導入段階における対策3項目、運用段階における対策4項目、脆弱性の存在が判明した際の対処手順2項目、業務委託に関する注意点1項目を解説している。

 この件の詳細は↓
 http://www.ipa.go.jp/about/press/20110228_2.html

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書については↓
 http://www.ipa.go.jp/about/press/pdf/110228_2press2.pdf