HOMEIPAについて新着情報過去年度の記事2012年度プレス発表 「企業ウェブサイトのための脆弱性対応ガイド」などの公開および「脆弱性ハンドブック」を発行

本文を印刷する

IPAについて

プレス発表 「企業ウェブサイトのための脆弱性対応ガイド」などの公開および「脆弱性ハンドブック」を発行

「情報システム等の脆弱性情報の取扱いに関する研究会」の活動成果

2013年3月28日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「情報システム等の脆弱性情報の取扱いに関する研究会」における2012年度の活動成果として、小企業のウェブサイトの脆弱性対策を促進するための「企業ウェブサイトのための脆弱性対応ガイド」などを公開します。(2013 年3月28日から)また、これまでの成果を基に編集した「脆弱性ハンドブック」を刊行します。
URL: http://www.ipa.go.jp/security/fy24/reports/vuln_handling/index.html

概要

 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久 中央大学教授)の2012年度の活動成果として、小企業のウェブサイトの脆弱性対策の実態を把握するとともに、その取り組みを促すための資料である「企業ウェブサイトのための脆弱性対応ガイド」や、研究会の2012年度報告書などをとりまとめ、公開しました。また、2003年からこれまでの活動成果の集大成として「脆弱性ハンドブック」を刊行します。

「安全なウェブサイト運営にむけて ~ 企業ウェブサイトのための脆弱性対応ガイド ~(以降、ガイド)」

 IPAと一般社団法人JPCERTコーディネーションセンターなどが中心となり運用をすすめてきた情報セキュリティ早期警戒パートナーシップに基づき、各種脆弱性情報がIPAに届出されています。このうち、ウェブサイトの脆弱性届出では、小企業のウェブサイトが約7割を占めています。小企業では一般的に予算や人手が不十分で、ウェブサイトにおける適切な脆弱性対策は容易でない実情が、これまでの届出から明らかになりました。小企業のウェブサイトの脆弱性対策は喫緊の課題であり、効果的な促進策を適用することが求められます。

 このような背景のもと、IPAでは小企業のウェブサイト運営における脆弱性対策の実態について310件のアンケート調査や10件のヒアリング調査を実施し、以下の課題があることを明らかにしました。

  • 予算や人材などのリソースの問題
  • セキュリティ対策に関する意識の問題
  • セキュリティ技術レベルの問題
  • 体制や運用の問題

 IPAではこれらの明らかになった課題を踏まえ、望ましいウェブサイトの脆弱性対策を促進するためのガイドを作成しました。ガイドでは、

  • 脆弱性によるウェブサイトの問題
  • 脆弱性対策を必ず行うべきウェブサイト
  • ウェブサイトの脆弱性対策のポイント
  • ウェブサイトの脆弱性対策の要否に関するチェックリスト
などを掲載しています。

 このガイドにより、特に小企業のウェブサイト運営者は、ウェブサイトに対する脆弱性対策への考え方や、脆弱性が発見される以前に検討しておくべきこと、また脆弱性情報を告げられた際に実施すべきことを知ることができます。

 今年度の研究会では、ガイド作成の検討のほか、告示改訂への対応に向けた検討や、制度運営上の問題解決に関する改訂に向けた検討など情報セキュリティ早期警戒パートナーシップガイドラインの見直しに関する調査を実施しました。詳細は別紙および報告書をご覧ください。

「脆弱性ハンドブック」刊行

 IPAは、2003年11月に有識者や研究者、専門家等で構成される「情報システム等の脆弱性情報の取扱いに関する研究会」を設置し、未公表のソフトウェアの脆弱性の取扱いについて検討を重ね、その結果を踏まえ現在の脆弱性届出制度(情報セキュリティ早期警戒パートナーシップ)が整備されました。2004年7月の運用開始以降も、同研究会は継続して開催され、制度に関連する様々な課題について検討が重ねられてきました。これまでに蓄積されてきた活動成果をとりまとめ、集大成として「脆弱性ハンドブック」を刊行することになりました。

本脆弱性ハンドブックの構成は以下の通りです。

  • 第1章 はじめに
  • 第2章 脆弱性対応の意義
    全ての読者を対象
    ・脆弱性とはどのようなものか概要を説明
    ・実際に起きた脆弱性に起因するトラブルや影響について事例を紹介
    ・国内の脆弱性関連情報の取扱いの枠組みである「情報セキュリティ早期警戒パートナーシップ」の解説
  • 第3章 情報システムにおける脆弱性対応
    企業等の組織において情報システムのセキュリティを担当する方を主な対象
    ・脆弱性対策をSI事業者に委託する際に考慮すべき点などを含めた全般的な脆弱性対策を説明
  • 第4章 ウェブサイトにおける脆弱性対応
    ウェブサイトを運営される方、ウェブサイトの構築・運用に携わる方を対象
    ・組織における脆弱性の確認や、ウェブサイトの脆弱性について運営者が問われる責任、 求められている継続的な対策、脆弱性に関する通知を受けた場合の望ましい対応手順、 システムの納入前や納入後に考慮すべきことを解説
  • 第5章 ソフトウェア製品と脆弱性対応
    ソフトウェア製品開発者を対象
    ・脆弱性情報の取扱いに関する連絡体制の整備、実際に連絡が来たときの対応方法、 脆弱性対策情報の望ましい公表手順について説明 ・組込みソフトウェアの開発における脆弱性対策を推進する方策も解説
  • 第6章 海外動向と国際標準
    ・米国政府の推進する取り組みや、脆弱性対策に関する国際標準化の現在の動向を説明
  • 第7章 ソフトウェアやシステムのライフサイクルと脆弱性対策
    ・ソフトウェア製品やウェブサイトなど実施すべき脆弱性対策について説明
    ・IPAウェブサイト等より入手可能な脆弱性関連の各種資料について概要を紹介
脆弱性ハンドブック 脆弱性ハンドブックは、全国官報販売協同組合販売所とAmazon 別ウィンドウで開くにて4月下旬に購入可能な予定です。
 定価: 本体 1,000円(本体952円+税)
 ISBN: 978-4-905318-17-0
 発行: 独立行政法人情報処理推進機構(IPA)


 IPAとしてはこれら調査報告書や脆弱性ハンドブックが参考となり、脆弱性対策の推進につながることを期待しています。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター  渡辺/板橋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:メール

報道関係からの問い合わせ先

IPA 戦略企画部 広報グループ  横山/佐々木

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: メール