HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「ウェブサイト運営者のための脆弱性対応ガイド」などを公開

本文を印刷する

情報セキュリティ

「ウェブサイト運営者のための脆弱性対応ガイド」などを公開

最終更新日 2009年7月8日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。
 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。

概要

 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。

 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セキュリティ対策と比べて関心が高くない、脆弱性を放置した場合にウェブサイトで起こる可能性のある情報漏えいやフィッシング詐欺などの具体的な危険性を認識していない、実際に脆弱性が見つかった場合の対応手順が整理されていない、などの問題点が浮き彫りとなりました。
また、セキュリティ対策に関心が高い運営者であっても、IPAから脆弱性の通知を受けるまで、「情報セキュリティ早期警戒パートナーシップ」を認知していなかったケースがありました。
一方、有識者へのヒアリングでは、ウェブサイト運営の責任を担う層に脆弱性を放置した場合の危機感が薄いことを懸念する指摘がありました。

 このような問題に対応するため、「情報システム等の脆弱性情報の取扱いに関する研究会」では、ウェブサイト運営の意思決定者(経営層を含む)や、組織内のウェブサイト技術者、及びシステム構築事業者と協力しながら脆弱性の確認や修正作業を行う担当者に向けて、ウェブサイトの脆弱性対策の促進と「情報セキュリティ早期警戒パートナーシップ」の普及を図るため、「ウェブサイト運営者のための脆弱性対応ガイド」を作成しました。

 本ガイドは、ウェブサイトの脆弱性がもたらす具体的なトラブルや運営者に問われる責任、ウェブサイトに求められる継続的な対策、脆弱性が見つかった場合の対応手順などを概説し、実際に脆弱性に関する通知を受けた場合の望ましい対応手順を脆弱性対応マニュアルとしてまとめました。
また、巻末には「脆弱性について通知を受けた場合の作業チェックリスト」を付与しました。
本ガイドが、関係者の方々にとって、脆弱性対応に向けた体制の検討や、実際の対応の際の参考となることを期待しています。

 本ガイドを、脆弱性関連情報の適切な流通により、コンピュータ不正アクセス、コンピュータウイルスなどによる被害発生を抑制するために、関係者に推奨する行為をとりまとめた「情報セキュリティ早期警戒パートナーシップガイドライン」の一部としました(4月4日更新)。

(参考)

別添

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書について

■ 報告書の主旨及び目的

 グローバルネットワークが社会・経済を支えている現在、我が国の安全性・信頼性を高めるためには、国内にとどまらず、国際的な連携が不可欠である点が挙げられます。

 その一方、国内で利用される日本製ソフトウェア製品でも脆弱性の発見が相次いだほか、ウェブサイトにおいても、クロスサイト・スクリプティングやSQLインジェクション等の脆弱性が多数発見・届出されており、攻撃を受けるケースも後を絶たちません。

 このような状況において、「情報セキュリティ早期警戒パートナーシップ」は、脆弱性関連情報の取扱い・公表という従来の役割はもちろん、我が国の企業等に向けて脆弱性対策に係る周知・啓発を推進する役割も期待されています。

 本報告書は、「情報システム等の脆弱性情報の取扱いに関する研究会」が、そうした先導役としての社会的ニーズを踏まえ、具体的なアプローチや課題、啓発ツール等について議論し、今後の情報セキュリティ早期警戒パートナーシップの目指す方向性を示すものとしてとりまとめたものです。

■ 報告書の構成(目次)

第1章 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1 背景
 1.2 運用の状況
 1.3 普及啓発の状況
 1.4 本年度研究会における検討

第2章 ウェブサイト脆弱性の対策促進に関する検討
 2.1 対策促進に関する課題
 2.2 ウェブサイト脆弱性に関する普及啓発

第3章 JVNの方向性に関する検討
 3.1 JVN の目標と課題
 3.2 JVN コンテンツの拡充

第4章 情報サービス事業者へのアプローチに関する検討
 4.1 情報サービス事業者の脆弱性対策に係る課題
 4.2 方向性の検討

第5章 情報セキュリティ早期警戒パートナーシップの強化に資する検討
 5.1 関係者・専門家から得られた事
 5.2 違法・有害サイトであった場合の対応の検討
 5.3 取扱期間が長期化したウェブサイト脆弱性案件の取扱方針に関する検討
 5.4 情報セキュリティ早期警戒パートナーシップガイドラインの修正に関する検討
 5.5 今後の課題

別紙1 情報システム等の脆弱性情報の取扱いに関する研究会 名簿

別紙2 情報セキュリティ早期警戒パートナーシップガイドライン改訂案
 付録1 発見者が心得ておくべき法的な論点
 付録2 製品開発者が心得ておくべき法的な論点
 付録3 ウェブサイト運営者の法的な論点
 付録4 具体的な説明
 付録5 ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル
 付録6 ウェブサイト運営者のための脆弱性対応マニュアル

報告書のダウンロード

本件に関するお問い合わせ先

独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) 渡辺/大森
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2009年7月8日 脆弱性対応ガイドを、ガイドラインの2009年改訂に合わせ第2版第2刷としました。
2008年4月4日 脆弱性対応ガイドを、ガイドラインの2008年改訂に合わせ第2版とし、ガイドラインの一部としました。
2008年2月28日 掲載